Киберсигурността и управлението на риска са критични теми за всяка организация, но когато става въпрос за финансовия сектор, изискванията са още по-строги. С навлизането на новия Регламент за дигиталната оперативна устойчивост (DORA) много компании се питат: „Щом сме сертифицирани по ISO 27001, значи ли това, че вече отговаряме на DORA?“ Краткият отговор е „не“. Въпреки че и двете рамки се фокусират върху сигурността и управлението на риска, техните цели, изисквания и механизми на прилагане са различни. Нека разгледаме какво ги отличава и как финансовите институции и техните доставчици на ИКТ услуги могат да се адаптират към новите изисквания.
1. Регулаторна срещу доброволна рамка
ISO 27001: Международен стандарт за управление на информационната сигурност
ISO 27001 е доброволен стандарт, който предлага рамка за управление на информационната сигурност. Той предоставя на организациите гъвкавост при внедряването на мерки за защита на данните, в зависимост от тяхната бизнес среда и рисков профил.
DORA: Задължителен регламент за финансовия сектор
За разлика от ISO 27001, DORA е задължителен регламент, приет от Европейския съюз. Той налага конкретни изисквания за киберустойчивост върху финансовите институции и техните доставчици на ИКТ услуги. Неспазването на регламента може да доведе до санкции и регулаторни действия.
2. Обхват и фокус
ISO 27001: Гъвкава рамка за управление на риска
ISO 27001 позволява на компаниите да персонализират обхвата си въз основа на бизнес нуждите. Фокусът му е върху трите основни принципа на информационната сигурност: поверителност, цялостност и наличност. Всяка организация избира подходящи контроли според собствените си рискови оценки.
DORA: Оперативна устойчивост и устойчивост при кибератаки
DORA има по-широк обхват от ISO 27001. Освен защитата на информацията, регламентът налага изисквания за оперативна устойчивост, което означава, че финансовите институции трябва да могат да издържат на ИКТ сривове, да реагират ефективно и да възстановяват нормалната си дейност без прекъсване на услугите.
3. Основни разлики в изискванията
🔸 Докладване на инциденти
ISO 27001: Включва управление на инциденти, но не изисква строги срокове за докладване. DORA: Финансовите институции трябва да докладват значителни инциденти в рамките на 4 часа, да предоставят актуализации до 72 часа и да изготвят анализ на причините до 1 месец.
🔸 Тестване на сигурността
ISO 27001: Организациите сами определят методите и честотата на тестване на уязвимостите. DORA: Изисква ежегодно тестване на устойчивостта, заплахо-ориентирано проникващо тестване (TLPT) на всеки 3 години и непрекъснато сканиране за уязвимости.
🔸 Управление на рисковете от трети страни
ISO 27001: Включва управление на рисковете от доставчици, но без специфични регулаторни изисквания. DORA: Налага задължителни договорни условия, стратегии за излизане и регулаторни одити за доставчиците на ИКТ услуги, работещи с финансови институции.
4. Как д асе адаптирате към DORA?
✅ Извършете анализ на пропуските спрямо DORA – Оценете къде вашата организация не покрива изискванията на DORA, въпреки че има ISO 27001 сертификация.
✅ Подобрете механизмите за докладване на инциденти – Внедрете системи за мониторинг и автоматизирано уведомяване в съответствие с DORA.
✅ Укрепете управлението на трети страни – Преразгледайте договорите си с доставчици и осигурете съответствие с регулаторните изисквания.
✅ Засилете тестването на сигурността – Въведете редовни тестове за устойчивост и заплахо-ориентирани тестове.
✅ Разширете планирането за непрекъснатост на бизнеса – Включете не само киберсигурност, но и цялостна дигитална оперативна устойчивост.
ISO 27001 е важен стандарт за управление на информационната сигурност, но той е само част от пъзела. DORA въвежда много по-строги изисквания, особено за финансовите институции и техните доставчици на ИКТ услуги. Ако вашата организация вече разполага с ISO 27001, това е добра отправна точка, но е важно да направите допълнителни стъпки, за да гарантирате пълно съответствие с DORA.
А вие готови ли сте за DORA? Нека поговорим: https://cyberone.bg/dora-compliance
Ако имате въпроси или искате да научите повече за конкретни аспекти на киберсигурността, не се колебайте да се свържете с нас. Нашият бизнес е да защитаваме вашия!
