bank dora - ghdrako/doc_snipets GitHub Wiki

  • DORA Digital Operational Resilence Act

  • ICT Information and Communication Technology

  • Zarządzanie ryzykiem ICT

    • Identyfikacja systemów krytycznych dla działalności finansowej.
    • Ocena ryzyka operacyjnego związanego z awariami lub cyberatakami.

  • Testy odporności operacyjnej ICT

    • Regularne testowanie systemów IT, w tym testy penetracyjne i scenariusze awaryjne.
    • Zarządzanie dostawcami ICT (outsourcing)

  • Kontrola ryzyka wynikającego z korzystania z usług firm trzecich, w tym dostawców chmury.

    • Zgłaszanie incydentów ICT
    • Obowiązek raportowania istotnych incydentów ICT do odpowiednich władz nadzorczych w określonym czasie.

  • Bezpieczeństwo i odporność cybernetyczna

    • Zapewnienie ciągłości działania przy cyberzagrożeniach, awariach systemów czy atakach zewnętrznych.

Testy TLPT Threat Led Penetration Testing

Ex-ante → „przed faktem”, czyli działania podejmowane przed rozpoczęciem współpracy lub realizacją transakcji.

Due diligence → szczegółowa analiza i ocena ryzyk, kompetencji, procesów i zgodności partnera lub systemu z wymaganiami regulacyjnymi.

ex-ante due diligence to obowiązkowa wstępna ocena dostawcy lub systemu ICT, aby upewnić się, że jest bezpieczny, stabilny i zgodny z wymaganiami regulacyjnymi, zanim instytucja finansowa zacznie z niego korzystać.

DORA – Podstawowe filary

  • Zarządzanie Ryzykiem związanym z ICT

    • Zarządzanie ryzykiem ICT
    • Zbudowanie systemu zarządzania odpornością cyfrową (nadzór i kierowanie)
    • Określenie funkcji krytycznych lub istotnych
    • Identyfikacja zasobów ICT, które wspierają procesy biznesowe

  • Zarządzanie incydentami związanymi z ICT

    • Dostosowanie procesu zarządzania incydentami ICT
    • Klasyfikacja incydentów
    • Szacowanie kosztów związanych z incydentami
    • Reakcja na cyberataki

  • Testowanie operacyjnej odporności cyfrowej

    • Weryfikacja przygotowania organizacji
    • Testy TLPT (Threat-Led Penetration Testing - testy penetracyjne) imitujące rzeczywiste cyberataki

  • Zarządzanie ryzykiem ze strony zewnętrznych dostawców

    • Dostęp do informacji nt. cyberzagrożeń
    • Wymiana informacji między podmiotami finansowymi
    • Raportowanie do UKNF