top of page
Szukaj
kcelinska

Ustawa o cyfrowej odporności operacyjnej: Najnowsza aktualizacja wymagań testowych

Holenderski Urząd ds. Rynków Finansowych (AFM) opublikował piątą aktualizację #DORA, zawierającą wskazówki dla firm finansowych dotyczące testowania ich cyfrowej odporności operacyjnej.


  • Poprzednie publikacje AFM:


Aktualizacja 1: Przegląd ogólny

To wydanie wprowadziło sektor finansowy w cele DORA i nakreśliło kluczowe obszary zainteresowania, w tym zarządzanie ryzykiem IT, zgłaszanie incydentów i odporność operacyjną.

Podkreślono znaczenie harmonizacji zarządzania ryzykiem teleinformatycznym w całej branży finansowej w celu ochrony przed rosnącym zagrożeniem cybernetycznym.


Aktualizacja 2: Zarządzanie ryzykiem stron trzecich

Skupiono się na zarządzaniu ryzykiem związanym z zewnętrznymi dostawcami ICT.

Ta aktualizacja poprowadziła firmy w zakresie zawierania umów, opracowywania strategii wyjścia i zapewniania nadzoru nad krytycznymi dostawcami zewnętrznymi.


Aktualizacja 3: Zarządzanie ryzykiem ICT

Publikacja ta zawierała dogłębne spojrzenie na ramy zarządzania ryzykiem ICT, wzywając firmy do opracowania ustrukturyzowanych podejść do monitorowania, oceny i ograniczania ryzyka IT.

Obejmowała ona wymagania dotyczące #BCM, szkolenie pracowników w zakresie bezpieczeństwa #ICT oraz wdrażanie narzędzi monitorujących w celu wykrywania i eliminowania zagrożeń.


Aktualizacja 4: Zarządzanie incydentami

Koncentrowała się na wymaganiach dotyczących zarządzania incydentami związanymi z ICT, w tym klasyfikowania i zgłaszania istotnych incydentów cybernetycznych.

Aktualizacja ta podkreśliła znaczenie tworzenia procesów wykrywania i zarządzania incydentami przy jednoczesnym zachowaniu zgodności z wymogami raportowania DORA.


Aktualizacja 5: Wymagania dotyczące testowania i odporność operacyjna

Skupiono się na wymaganiach dotyczących programów testowych w celu zapewnienia cyfrowej odporności operacyjnej.


Wdrożenie programu testowego:

Wszystkie firmy muszą ustanowić program testowania oparty na ryzyku w ramach swoich ram zarządzania ryzykiem ICT. Obejmuje to:

- Ustanowienie regularnych testów odporności systemów i narzędzi ICT.

- Upewnienie się, że program testowania jest dostosowany do wielkości firmy, profilu ryzyka i złożoności operacyjnej.


Testy:

- Skanowanie podatności: Zautomatyzowane testy identyfikujące luki w zabezpieczeniach.

- Analizy luk: Ocena wydajności systemu w stosunku do oczekiwanych wyników.

- Oceny bezpieczeństwa fizycznego: Zapewnienie, że nieautoryzowany dostęp do krytycznych lokalizacji jest ograniczony.

- Przeglądy kodu źródłowego: Niezależna ocena kodu w celu zidentyfikowania potencjalnych błędów przed wdrożeniem.

- Testy kompatybilności: Zapewnienie działania oprogramowania w różnych środowiskach.

Testy całościowe: Kompleksowe testy obejmujące całą aplikację w celu weryfikacji funkcjonalności w rzeczywistych scenariuszach.

- Testy penetracyjne: Symulowane cyberataki w celu wykrycia luk w zabezpieczeniach.

- Advanced Threat-Led Penetration Testing (TLPT): Symuluje rzeczywiste cyberataki, zapewniając bardziej szczegółową i opartą na danych wywiadowczych ocenę odporności firmy.




Digital Operational Resilience Act: Latest Update on Testing Requirements 


The Dutch Authority for the Financial Markets (AFM) has released its fifth update on #DORA, providing guidance for financial firms to test their digital operational resilience. 


  • Previous AFM Publications:


Update 1: General Overview


This edition introduced the financial sector to DORA’s objectives and outlined the key focus areas, including IT risk management, incident reporting, and operational resilience.


It emphasized the importance of harmonizing ICT risk management across the financial industry to protect against the growing cyber threat landscape​.


Update 2: Third-Party Risk Management 


Focused on managing risks associated with third-party ICT providers.


This update guided firms on setting up contracts, developing exit strategies, and ensuring oversight of critical third-party providers​.


Update 3: ICT Risk Management 


This publication provided an in-depth look at ICT #riskmanagement frameworks, urging firms to develop structured approaches to monitor, assess, and mitigate IT risks.


It covered requirements around #BCM, training employees in 


#ICT security, and implementing monitoring tools to detect and address risks​.


Update 4: Incident Management


Focused on the requirements for managing ICT-related incidents, including classifying and reporting significant cyber incidents.


This update stressed the importance of creating processes for detecting and managing incidents while maintaining compliance with DORA’s reporting requirements​.


Update 5: Testing Requirements and Operational Resilience


Focused on the requirements for testing programs to ensure digital operational resilience.


Testing Program Implementation:


All firms must set up a risk-based testing program as part of their ICT risk management framework. This includes:


- Establishing regular tests for the resilience of ICT systems and tools.


- Ensuring the testing program is aligned with the firm’s size, risk profile, and operational complexity.


Tests:


- Vulnerability Scans: Automated tests to identify security gaps.

- Gap Analyses: Evaluation of system performance against expected outcomes.

- Physical Security Assessments: Ensuring unauthorized access to critical locations is restricted.

- Source Code Reviews: Independent assessment of code to identify potential flaws before deployment.

- Compatibility Testing: Ensuring software works across different environments.


End-to-End Testing: Comprehensive tests covering the entire application to verify functionality in real-world scenarios.


- Penetration Testing: Simulated cyberattacks to uncover vulnerabilities​.

- Advanced Threat-Led Penetration Testing (TLPT): Simulates real-life cyberattacks, providing a more detailed and intelligence-driven evaluation of the firm’s resilience. 



3 wyświetlenia0 komentarzy

Ostatnie posty

Zobacz wszystkie

Comentários

Avaliado com 0 de 5 estrelas.
Ainda sem avaliações

Adicione uma avaliação
bottom of page