DORA auditfelkészítés, tanácsadás, támogatás

Mit kínálunk Önöknek?

DORA audit-felkészítés, tanácsadás szolgáltatásunk segít a kibervédelmi szabályozás követelményeire való felkészülésben, az azoknak való megfelelés teljesítésében és általában a kiberbiztonsági fenyegetésekkel szembeni ellenállásban, hogy cégük és reputációjuk egyaránt megfeleljen a törény és az ügyfelek elvárásainak.

Mit tartalmaz a szolgáltatás?

Segítséget nyújtunk az adminisztratív, logikai és fizikai védelmi feladatok elvégzésében. Ez kiterjed a (IBSZ, BCP, DRP stb.) szabályzatok és az eljárásrendek ellenőrzésére, a gyakorlatok ezeknek való megfelelésére, a biztonsági események kezelésére, a fejlesztések biztonságossá tételére, valamint az üzemeltetési folyamatokra is.

Miért válasszon minket?

Fontosnak tartjuk, hogy az általunk elvégzett vizsgálat, tanácsadás és segítségnyújtás a lehető legnagyobb hasznot jelentse ügyfeleink számára. Ennek megfelelően Önök partnerünkként profitálnak a kiberbiztonsági auditokban és követelményrendszerekben szerzett sokéves tapasztalatunkból.

DORA szolgáltatásaink

Mi az a DORA (Digital Operational Resilience Act)?

A Digital Operational Resilience Act (DORA) egy európai uniós rendelet, amely a pénzügyi szektor információs és kommunikációs technológiai (IKT) biztonságát szabályozza. A célja, hogy a bankok, biztosítók és más pénzügyi szervezetek ellenállóbbá váljanak a kibertámadásokkal és IT-rendszereik meghibásodásával szemben. A rendelet előírja az IKT kockázatkezelési keretrendszerek kialakítását, az incidensek bejelentésének kötelezettségét, a külső szolgáltatók felügyeletét és a rendszeres reziliencia tesztelést. A DORA 2023. január 16-án lépett hatályba, és 2025. január 17-től lesz kötelező alkalmazni az érintett szervezetek számára.

A DORA nem csupán irányelv, hanem közvetlenül alkalmazandó rendelet, amely szigorú követelményeket támaszt az IKT-biztonsággal kapcsolatban. Ennek értelmében a pénzintézeteknek dokumentáltan bizonyítaniuk kell, hogy folyamatosan képesek kezelni az IKT kockázatokat, minimalizálni a szolgáltatáskieséseket és biztosítani az üzletmenet folytonosságát. A rendelet hatálya kiterjed a pénzügyi szervezetek mellett az IKT-szolgáltatókra is, biztosítva, hogy az ellátási lánc minden szereplője megfeleljen a digitális működési reziliencia követelményeinek.

Kikre vonatkozik a DORA rendelet?

A DORA rendelet főbb követelményei

IKT-kockázatkezelési keretrendszer

• IKT-kockázatkezelési keretrendszer kialakítása: Átfogó, a teljes szervezetre kiterjedő keretrendszert kell létrehozni, amely biztosítja az IKT-rendszerek ellenálló képességét, biztonságát és integritását. Ez a keretrendszer lefedi az IKT-tevékenységek védelmét, megelőzését, felderítését, elhárítását, helyreállítását és a folyamatos fejlesztést.
• Vezetői felelősség: A felső vezetésnek aktívan részt kell vennie az IKT-kockázatok kezelésében. Jóvá kell hagyniuk az ezzel kapcsolatos stratégiákat, és biztosítaniuk kell azok megfelelő végrehajtását. A vezetőknek megfelelő ismeretekkel és naprakész tudással kell rendelkezniük az IT-kockázatok terén.
• IKT-kockázatok azonosítása és értékelése: Folyamatosan figyelemmel kell kísérni és rendszeresen értékelni kell az IKT-kockázatokat, beleértve az újonnan felmerülő fenyegetéseket és sérülékenységeket. Az átfogó kockázatelemzés alapot nyújt a megfelelő védelmi intézkedésekhez és erőforrás-allokációhoz.
• Üzletmenet-folytonosság biztosítása: Az intézményeknek ki kell dolgozniuk üzletmenet-folytonossági terveket (BCP), és ezeket rendszeresen tesztelniük kell. Cél, hogy egy esetleges IKT-rendszerkiesés vagy kibertámadás esetén is minimálisra csökkenjen a szolgáltatási kiesés, és biztosított legyen a gyors helyreállítás.
• IKT-kockázatokkal kapcsolatos információmegosztás: Ösztönözni kell a kiberfenyegetésekkel és IKT-kockázatokkal kapcsolatos információcserét az érintett pénzügyi szereplők között. Az intézményeknek együtt kell működniük egymással és a hatóságokkal a veszélyekre vonatkozó információk megosztásában, ezzel erősítve a szektor teljes rezilienciáját.

IKT-vonatkozású események kezelése és jelentése

• IKT-események és incidensek észlelése: Hatékony rendszereket kell kialakítani az IKT-események és biztonsági incidensek mielőbbi felismerésére, osztályozására és nyomon követésére. Minden rendellenességet objektív kritériumok alapján értékelni kell, figyelembe véve azok hatását a működésre és az ügyfelekre.
• Incidenskezelési eljárások kidolgozása: Dokumentált incidenskezelési folyamatokat kell bevezetni, amelyek biztosítják az események gyors és hatékony kezelését, minimálisra csökkentve az üzleti hatásokat. Ezeknek a terveknek ki kell térniük a reagálási lépésekre és a helyreállítási folyamatokra is.
• IKT-események súlyossági osztályozása: Az incidensek súlyosságát előre meghatározott, egységes kritériumrendszer alapján kell osztályozni. A besorolásnál figyelembe kell venni az érintett rendszerek körét, az érintettek számát, az incidens pénzügyi hatását és az üzletmenetre gyakorolt kritikus következményeket.
• Válaszintézkedések és helyreállítás: Az incidensekre adott válaszokat és a helyreállítási folyamatokat előre kidolgozott tervek alapján kell végrehajtani, biztosítva az üzletmenet folytonosságát. Minden esemény után érdemes utólagos elemzést végezni, és levonni a tanulságokat a jövőbeni fejlesztés érdekében.
• Jelentési kötelezettségek teljesítése: A jelentős (fontos) IKT-eseményeket kötelező bejelenteni az illetékes felügyeleti hatóságoknak az előírt határidőkön belül. Az EU-szinten egységes jelentési formátumokat és protokollokat kell alkalmazni. Emellett biztosítani kell a folyamatos jelentéstételt és kommunikációt: egy súlyos incidensről kezdeti, időközi és záró jelentést is kell készíteni, amelyek részletes információkat tartalmaznak az eseményről, annak hatásairól és a megtett intézkedésekről.
• Hatóságok és érintett felek tájékoztatása: Az intézményeknek gondoskodniuk kell arról, hogy a releváns hatóságok mellett az ügyfelek, partnerek és egyéb érintett felek is időben értesüljenek a jelentős incidensekről. Ez segít megőrizni a piac és az ügyfelek bizalmát, és elősegíti a problémák átlátható kezelését. Nemzeti és európai szinten is együtt kell működni más piaci szereplőkkel és hatóságokkal az incidensek megelőzése és kezelése érdekében.

Digitális működési reziliencia tesztelése

• Reziliencia tesztelési program kialakítása: Átfogó és rendszeres tesztprogramot kell létrehozni az IKT-rendszerek ellenállóképességének és biztonságának ellenőrzésére. A tesztelésnek arányosnak és kockázatalapúnak kell lennie, lefedve a kritikus rendszereket és folyamatokat.
• Sérülékenységvizsgálatok és penetrációs tesztek: Rendszeresen el kell végezni a sebezhetőségi vizsgálatokat, valamint az etikus hackerek által végrehajtott behatolási teszteket (penetrációs teszteket) a kritikus rendszerek védelmének ellenőrzésére. Ezzel időben feltárhatók a biztonsági rések és hiányosságok.
• Fenyegetésvezérelt tesztelés (TLPT): A kritikus fontosságú pénzügyi intézményeknek legalább háromévente fenyegetésalapú penetrációs tesztet (Threat-Led Penetration Testing – TLPT) kell végrehajtaniuk. Ezek a tesztek valós támadási forgatókönyvek mentén mérik fel a szervezet ellenálló képességét (pl. a TIBER-EU keretrendszer alapján), és csak megfelelő minősítéssel rendelkező szakértők végezhetik el őket.
• Forgatókönyv-alapú szimulációk: Különféle kibertámadási és rendszerszintű leállási forgatókönyveket kell modellezni, hogy felmérjék az intézkedések hatékonyságát és az üzletmenet folytonosságát válsághelyzetekben. Ide tartozik például egy teljes adatközpont kiesésének vagy egy kritikus alkalmazás megbénulásának szimulálása.
• Üzletmenet-folytonossági és helyreállítási tervek tesztelése: Rendszeres időközönként ellenőrizni és gyakorolni kell a katasztrófa-helyreállítási terveket (DRP) és a biztonsági mentési eljárásokat. Ez biztosítja, hogy vészhelyzetben a tervek valóban működőképesek és naprakészek legyenek. Az éves belső auditoknak is ki kell terjedniük ezekre a területekre.
• Harmadik fél szolgáltatók bevonása a tesztelésbe: A külső IKT-szolgáltatók (pl. felhőszolgáltatók) rezilienciáját is tesztelni és értékelni kell, amennyiben azok a szervezet kritikus rendszereit támogatják. Szükség esetén a beszállítók kötelesek együttműködni a pénzügyi intézményekkel a tesztek végrehajtásában.
• Többrétegű és átfogó vizsgálatok: A reziliencia teszteknek ki kell terjedniük a hálózati, alkalmazás-, adat- és felhasználói szintekre egyaránt. Csak így biztosítható, hogy a teljes IT-környezet sebezhetőségei feltárásra kerüljenek, és ne maradjanak vakfoltok.
• Eredmények elemzése és fejlesztési intézkedések: Az elvégzett tesztek eredményeit dokumentálni és kiértékelni kell. Az azonosított hiányosságok alapján fejlesztési intézkedéseket kell meghatározni a kockázatok csökkentésére. Szükség esetén a jelentős megállapításokat és a tervezett javító lépéseket jelenteni is kell a felügyeleti hatóságok felé.

Harmadik fél IKT-szolgáltatókkal kapcsolatos kockázatkezelés

• Külső IKT-szolgáltatók felügyelete: Biztosítani kell, hogy minden igénybe vett harmadik fél (pl. felhő, szoftver vagy infrastruktúra szolgáltató) megfeleljen a DORA által előírt biztonsági és kockázatkezelési követelményeknek. Ezt a pénzügyi intézményeknek folyamatosan nyomon kell követniük és ellenőrizniük kell.
• Szolgáltató kiválasztása és kockázatértékelése: Új IKT-szolgáltató bevonása előtt alapos előzetes kockázatértékelést kell végezni. Ebbe beletartozik a szolgáltató biztonsági felkészültségének, megbízhatóságának és pénzügyi stabilitásának vizsgálata is, mielőtt szerződés jön létre.
• Szerződéses kötelezettségek meghatározása: A szolgáltatókkal kötött szerződésekben részletes, kockázatalapú követelményeket kell rögzíteni. Ide tartoznak például az incidensek jelentésére vonatkozó kötelezettségek, a teljesítménymutatók folyamatos monitorozása, az auditálási jogok, valamint a szolgáltatási szintek (SLA) betartása.
• Folyamatos teljesítmény- és biztonságfigyelés: Rendszeresen értékelni kell a külső szolgáltatók teljesítményét és biztonsági szintjét. Ezzel biztosítható, hogy a szolgáltatás minősége ne romoljon, és a kockázatok se növekedjenek a szerződés időtartama alatt.
• Helyettesítési és kilépési stratégiák: Előre fel kell készülni arra az esetre, ha egy szolgáltatóval megszűnik az együttműködés. Üzletmenet-folytonossági tervekben szerepelnie kell a kritikus szolgáltatók kiesése esetén követendő lépéseknek, beleértve az alternatív megoldások bevezetését is.
• Külső kockázatok csökkentése: Proaktív intézkedéseket kell tenni a harmadik felekhez kapcsolódó kockázatok minimalizálására (például redundáns rendszerek vagy több szolgáltató párhuzamos alkalmazása). A kritikus fontosságú szolgáltatókat kiemelt figyelemmel kell kezelni, és szükség esetén gyakrabban kell értékelni.
• Incidensek bejelentése a szolgáltatók részéről: A harmadik fél IKT-szolgáltatók kötelesek haladéktalanul értesíteni az érintett pénzügyi intézményt minden olyan eseményről vagy incidensről, amely hatással lehet a digitális működési rezilienciára. Ez lehetővé teszi a gyors reagálást és a kármegelőzést.
• Felügyeleti jelentéstétel: A pénzügyi intézményeknek (és bizonyos esetekben a kritikus IKT-szolgáltatóknak) rendszeresen jelenteniük kell a felügyeleti hatóságok felé a külső szolgáltatóikkal kapcsolatos kockázatkezelési intézkedéseiket és a szerződéses viszonyaikat. A hatóságok így nyomon követhetik a kiszervezett tevékenységek kockázatait is.

IT biztonsági tanácsadás, audit-felkészítés

A Makay Kiberbiztonsági Kft. DORA audit felkészítő szolgáltatása átfogó támogatást nyújt az érintett pénzügyi szervezetek számára a rendeletnek való megfelelés érdekében. Segítünk az IKT-kockázatkezelési dokumentumok felülvizsgálatában és kidolgozásában, beleértve az incidenskezelési terveket, az üzletmenet-folytonossági stratégiákat és a beszállítói szerződések kockázati szempontú ellenőrzését. Elvégezzük a szükséges biztonsági teszteket, például sérülékenységvizsgálatokat és fenyegetésalapú penetrációs teszteket (TLPT). Támogatást nyújtunk a védelmi technológiák beszerzésében és beüzemelésében, biztosítva a hálózatok, rendszerek és adatok megfelelő védelmét. Emellett eseti tanácsadással és folyamatos szakmai segítségnyújtással állunk ügyfeleink rendelkezésére, hogy a megfelelőségi folyamat minden szakaszában hatékony támogatást kapjanak.

Cégünk munkatársai több éves tapasztalattal rendelkeznek a 41/2015. (VII. 15.) BM rendelet, 42/2015 (III. 12.) Korm. rendelet, NIST, NIS2, ISO 27001 és egyéb szabványok vonatkozásában végzett auditokban. Az így megszerzett tapasztalatainkkal, a hatályos követelmények folyamatos nyomon követésével segítséget nyújthatunk a fent leírtak elvégzésében, teljesítésében.

Védelmi megoldások beszerzése, beüzemelése és üzemeltetése

A Makay Kiberbiztonsági Kft. nemcsak a DORA követelményeinek maradéktalan teljesítésének felkészítésében segít, hanem azon védelmi technológiák (antivírusok, tűzfalak, biztonsági mentő megoldások, naplógyűjtés, sérülékenységvizsgálók stb.) beszerzésében, beüzemelésében és üzemeltetésében is, amik elengedhetetlenek ahhoz, hogy az Önök által kezelt adatok a legnagyobb biztonságban legyenek, szükség esetén pedig folyamatos szakértői felügyeletet élvezzenek.

Honnan kérhetek segítséget?

Kérjen segítséget a Makay Kiberbiztonsági Kft.-től a felkészülésben az Ajánlatkérés gombbal és előzze meg a milliós károkat okozó kiberbiztonsági incidensek bekövetkezését!

Kapcsolódó szolgáltatások és termékek