Регламент (ЕС) 2022/2554 - Digital Operational Resilience Act (DORA) - вступил в силу с января 2025 года. Если вы являетесь CISO, руководителем отдела ИТ-рисков или архитектором по соблюдению нормативных требований в регулируемой финансовой организации, вы уже в курсе. Вопрос, на который большинство компаний еще не ответили, обманчиво конкретен: что делает требование к целостности данных, поддающееся проверке в вашем стеке ИКТ? Исследование показало, что 96% компаний в регионе EMEA считают свой текущий уровень цифровой устойчивости недостаточным.
Здесь вы сможете укрепить свои силы и научиться:
- то, что написано в стандарте честности DORA - на своем собственном языке;
- там, где стандартные системы не справляются;
- как выглядит технически обоснованный контроль целостности;
- и какие операционные инструменты решают задачи обеспечения доступности и непрерывности, которые связаны с этим.
Что на самом деле говорит DORA о целостности данных
ДОРА использует целостность как конкретное, повторяющееся обязательство, а не как общий принцип. Статья 9(2) устанавливает базовый уровень:
"Финансовые организации должны разрабатывать, закупать и внедрять политики, процедуры, протоколы и инструменты обеспечения безопасности ИКТ... для поддерживать высокие стандарты доступности, подлинности, целостности и конфиденциальности данных, в состоянии покоя, использования или транспортировки"."
Статья 12(7) устанавливает потолок:
"При восстановлении после инцидента, связанного с ИКТ, финансовые организации должны проводить необходимые проверки, включая любые многочисленные проверки и сверки, для того чтобы обеспечить высокий уровень целостности данных."
Это обязательство по согласованию требует фиксированной точки отсчета - независимо проверяемого базового уровня целостности, с которым можно сверять восстановленные данные. Статья 18(1)(d) связывает целостность с классификацией инцидентов. Статья 30(2)(c) распространяет это обязательство на контракты ИКТ с третьими сторонами. Целостность данных - это системное требование для всех ваших операций и цепочек поставок.
Пропасть, которую большинство фирм не назвали
Большинство регулируемых организаций уже имеют платформы SharePoint, Salesforce, Dynamics 365, Google Workspace, Microsoft 365 или аналогичные, которые ведут журналы доступа, истории версий и временные метки. Предполагается, что это является адекватным контролем целостности. Это не так.
ENISA'В технических стандартах, составленных в рамках закона ЕС о киберустойчивости, говорится, что целостность данных "должна обеспечиваться с использованием современных не устаревших технологий" и что системы должны быть разработаны с учетом "защиты доказательств" - потому что Если доступ к журналам нарушен, злоумышленник может стереть свои следы.
Внутренний журнал, хранящийся в той же системе, может быть изменен. Он не является защищенным от несанкционированного доступа. Когда регулирующий орган просит вас доказать, что файл существовал в определенном состоянии в определенное время и не был изменен с тех пор, внутренняя временная метка не дает независимого ответа на этот вопрос. GDPR Статья 5(2) возлагает бремя доказывания на контролера: продемонстрировать соответствие - не утверждать его.
Как на самом деле выглядит проверяемая целостность
DORA не предписывает технический метод. Она предписывает результат: данные, которые являются аутентичными, отслеживаемыми, устойчивыми к взлому и поддающимися независимой проверке на протяжении всего жизненного цикла.
Один из технически оправданных способов - криптографическое закрепление хэша. Отпечаток файла генерируется в момент создания или последней авторизованной модификации и привязывается к неизменяемой публичной бухгалтерской книге. Содержимое документа никогда не попадает в цепочку - конфиденциальность сохраняется намертво. При любой последующей модификации создается другой хэш. Расхождение математически определено и может быть проверено независимо без доступа к конфиденциальному содержимому.
Сайт Документ Банка Англии о финансовой стабильности 2024 года В публикации "Операционная устойчивость" отмечается, что финансовые компании "изучают потенциал технологии распределенных книг для повышения эффективности финансовых процессов и транзакций... вероятно, она найдет применение и в традиционной финансовой системе"."
Truth Enforcer В ней реализованы следующие возможности: привязка хэша к публичному блокчейну, мгновенное обнаружение взлома, независимая проверка без обнародования содержимого и интеграция с SharePoint, Salesforce, Google Workspace и другие. Это превращает обязательство DORA по обеспечению честности и неподкупности из политического заявления в доказуемый и проверяемый факт.
Целостность в управлении операционной устойчивостью и рисками
Согласно статье 5(2) DORA, управление рисками ИКТ осуществляется на уровне совета директоров. Орган управления должен утверждать, контролировать и анализировать политику непрерывности бизнеса и планы восстановления. Deloitte формулирует мандат напрямую: компании должны продемонстрировать, что они "способны противостоять всем типам сбоев и угроз, связанных с ИКТ, реагировать на них и восстанавливаться после них"."
Записи целостности с хэш-анкерами и журналы непрерывности синхронизации в реальном времени - это не технологические предпочтения. Это документальное подтверждение соответствия с обязательствами, которые совет директоров должен контролировать по закону. Принцип подотчетности GDPR завершает спор: бремя доказательства лежит на вашей организации, и она должна выдержать проверку.
Стандарт добросовестности DORA является прямым и уже действует. В большинстве финансовых учреждений есть журналы доступа. Большинство из них не имеют независимых записей о целостности, поддающихся независимой проверке и устойчивых к взлому. Это и есть разрыв.
Ваша система рисков ИКТ должна быть способна создать независимо проверяемую запись о целостности конкретного файла в конкретный момент времени. Это стандартный уровень, который вам нужен - самый высокий.
.
Свяжитесь с нами для получения стандарта целостности DORA: https://www.connecting-software.com/truth-enforcer-sign-up/
ИЛИ
Попробуйте бесплатно:
Верификатор истины для создателей ИС: https://truth-verifier.com/landing
Верификатор правды для журналистов: https://truthverifier.news/landing
.
Узнайте о синхронизации Microsoft для обеспечения непрерывности и доступности бизнеса: https://www.connecting-software.com/microsoft-synchronization/
По адресу Франсиско РодригесМенеджер по продукции
"Я пишу о том, как программные интеграции могут адаптироваться к бизнес-среде и отвечать требованиям конкретной отрасли. Я хочу показать предприятиям путь к рационализации процессов, устранению узких мест и обеспечению соответствия нормативным требованиям путем предоставления командам и руководителям высшего звена необходимых инструментов".
Связанные чтения
Целостность данных DORA: Что на самом деле требует “высший стандарт”
Проблема модификации: Правило 613 Комиссии по ценным бумагам и биржам США - соответствие требованиям CAT с данными, к которым, как можно доказать, никто не прикасался
Реформа законодательства Великобритании о завещаниях 2025 года: Подготовка к независимой цифровой проверке до появления закона