Что скрывается за аббревиатурой DORA и как она повлияет на ИТ-инфраструктуру

Информационный ландшафт современного мира стремительно меняется, что порождает новые вызовы и риски для организаций любого масштаба. В частности, в финансовом секторе зависимость от современных технологий достигла беспрецедентного уровня, делая жизненно важным поддержание операционной устойчивости информационных систем и коммуникаций.

В свете указанных обстоятельств Совет Европейского союза разработал специальный нормативно-правовой акт — Закон о цифровой операционной устойчивости (Digital Operational Resilience Act, сокращенно — DORA). Принятый в ноябре 2022 года, данный закон направлен на создание единой правовой основы, способствующей усилению защиты финансовых учреждений и иных операторов рынка от различных видов угроз, связанных с работой информационных и телекоммуникационных технологий (ИКТ).

Четыркина Дарья перевела статью ^[1], в которой детально рассмотрели положения Закона о цифровой операционной устойчивости, проанализировали его влияние на архитектуру и эксплуатацию баз данных, а также предложить практические подходы и рекомендации по подготовке организаций к выполнению предъявленных требований.

Закон о цифровой операционной устойчивости (DORA) и его влияние на базы данных

Слышали ли вы недавно о DORA? Нет, речь идёт не о знакомом многим термине DevOps Research and Assessment (DORA), а о другом важном документе — Законе о цифровой операционной устойчивости (Digital Operational Resilience Act). В ближайшие годы он серьезно повлияет на операции финансовых учреждений и поставщиков услуг в Европейском союзе.

Что такое DORA?

Закон о цифровой операционной устойчивости (DORA) представляет собой сводно-нормативный акт, предназначенный для укрепления операционной устойчивости финансовых организаций и поставщиков услуг, действующих в Евросоюзе. Этот закон направлен на уменьшение рисков, связанных с перебоями в работе информационных и коммуникационных технологий (ИКТ), и предусматривающий меры защиты против кибератак и технических сбоев.

Это ключевой шаг к созданию целостной системы регулирования, гарантирующей надёжность и безопасность информационных систем в финансовом секторе ЕС.

Какое влияние DORA оказывает на базы данных?

Рост значения финансовых услуг и объёмов данных делает устойчивость информационных систем ещё более актуальной задачей. Количество генерируемой, передаваемой и хранимой информации постоянно увеличивается, а технология искусственного интеллекта ^[2] и машинного обучения ^[3] требуют всё большего количества данных для функционирования.

Согласно DORA, банки и прочие участники финансового рынка обязаны обеспечить защиту и управляемость своих ИТ-систем, включая базы данных. Любые сбои или проблемы в управлении этими данными могут оказать негативное влияние на операционную деятельность и репутацию организаций.

Фактически, базы данных рассматриваются в качестве критически важной составляющей ИКТ-инфраструктуры, и их сбои могут вызвать существенные проблемы в деятельности организации.

Кто подпадает под действие DORA?

Данный закон распространяется на следующие категории организаций:

• Финансовые учреждения (банки, страховщики, кредиторы);

• Платёжные операторы;

• Организаторы криптовалютных платформ;

• Агентства по оценке кредитоспособности;

• Пенсионные фонды;

• Инвестиционные компании;

• Финтех-предприятия;

• Посторонние поставщики услуг, поддерживающие финансовые организации в части ИКТ.

Любая компания, оказывающая услугу финансовой организации, вне зависимости от места нахождения, тоже подпадает под действие DORA.

Когда вступает в силу?

Закон был утверждён Европарламентом в ноябре 2022 года, и вступил в силу с 17 января 2025 года. 

Ключевые требования DORA:

1. Управление рисками ИКТ: Все финансовые организации обязаны установить чёткую систему управления рисками, связанной с ИКТ, которая должна охватывать процессы идентификации, оценки и уменьшения рисков.

2. Отчётность о событиях: Организации должны немедленно уведомлять национальные регулирующие органы обо всех серьёзных инцидентах, происходящих в ИКТ-сфере.

3. Тестирование устойчивости: Необходимо регулярно проводить испытания и моделировать сценарии отказов для проверки устойчивости и восстановления систем.

4. Надзор за сторонними поставщиками: Контракты с третьими сторонами, оказывающими услуги ИКТ-финансовому учреждению, должны содержать условия, совместимые с требованиями DORA.

5. Корпоративное управление: Руководители организаций несут персональную ответственность за реализацию мер, направленных на достижение устойчивости ИКТ-инфраструктуры.

Как DORA воздействует на базы данных?

Администраторам баз данных (DBA), специалистам по информационной безопасности и руководителям служб информационной безопасности придётся усилить свои усилия по обеспечению целостности, безопасности и производительности данных. Им предстоит следовать следующим направлениям:

• Разработать меры по управлению рисками, связанным с ИКТ, включая регулярное шифрование, контроль доступа, категоризацию ценных активов и установку обновлений программного обеспечения.

• Создать эффективные процессы управления инцидентами и отчётности, позволящие быстро выявлять и устранять неисправности, сохранять записи обо всех нарушениях и действовать оперативно.

• Включить регулярное тестирование на устойчивость, оценивая способность баз данных к восстановлению после возможных сбоев и атакуемых ситуаций.

• Убедиться, что внешние поставщики услуг отвечают аналогичным стандартам безопасности и обеспечивают надлежащий уровень управления рисками.

Чем полезен Redgate Monitor?

Компания Redgate разработала инструмент Redgate Monitor, позволяющий администраторам баз данных быстрее отвечать требованиям DORA:

• Безопасность: Продукт обеспечивает глубокий мониторинг и аудит безопасности баз данных, что облегчает соответствие требованиям по контролю доступа и шифрованию.

• Производительность: Инструмент поддерживает высокую доступность путём равномерного распределения нагрузки и постоянного мониторинга производительности.

• Предупреждения: Настроенные предупреждения помогают заблаговременно обнаружить и устранить потенциально опасные ситуации.

• Классификация данных: Простая навигация и приоритетность ресурсов упрощают мониторинг состояния баз данных.

• Патч-менеджмент: Redgate Monitor следит за актуальностью версий и конфигураций серверов, снижая риски уязвимостей.

• Документация и аудит: Решение формирует готовые отчёты, подтверждающие соответствие международным стандартам и нормам.

Итоги

Закон о цифровой операционной устойчивости (DORA) открывает новую эру регулирования в сфере информационной безопасности и устойчивости ИТ-инфраструктуры финансовых организаций. Реализуя рекомендации и требования DORA, организации укрепляют свою цифровую экосистему, повышают уровень доверия клиентов и снижают вероятность убытков от несанкционированных воздействий и техногенных катастроф.

Важно отметить, что успешное выполнение положений DORA невозможно без грамотного планирования и инвестиций в модернизацию базовых элементов ИТ-инфраструктуры, включая базы данных. Использование специализированных инструментов, таких как Redgate Monitor, способствует эффективной реализации мероприятий по укреплению операционной устойчивости.

Если у вас возникли вопросы относительно возможностей инструмента Redgate Monitor или порядка его внедрения, мы предлагаем ознакомиться с полной версией продукта в рамках бесплатного ознакомительного периода длительностью две недели.