چک‌لیست کامل تطبیق با DORA: راهنمای تاب‌آوری عملیاتی دیجیتال

این چک‌لیست جامع، توسط میرعلی شهیدی، متخصص ارشد امنیت اطلاعات و آزمون نفوذ، تدوین شده و شامل الزامات کلیدی، رویه‌های استاندارد و بهترین روش‌ها برای انطباق با DORA (مقررات تاب‌آوری عملیاتی دیجیتال) می‌باشد. هدف اصلی آن، کمک به سازمان‌ها برای ارتقاء امنیت اطلاعات و شبکه‌های سازمانی با بهره‌گیری از روش‌های نوین و استانداردهای بین‌المللی است.

تشریح جامع DORA (قانون تاب‌آوری عملیاتی دیجیتال)

در طول دوران حرفه‌ای من، میرعلی شهیدی، به عنوان یک متخصص ارشد امنیت اطلاعات و آزمون نفوذ، همواره بر اهمیت تاب‌آوری عملیاتی و امنیت سایبری تأکید داشته‌ام. مقررات DORA (Digital Operational Resilience Act) که از ۱۷ ژانویه ۲۰۲۵ لازم‌الاجرا می‌شود، یک گام مهم در این راستا برای بخش مالی اتحادیه اروپا است.

DORA یک چارچوب نظارتی جامع از اتحادیه اروپا است که با هدف افزایش تاب‌آوری عملیاتی دیجیتال (Digital Operational Resilience) نهادهای مالی و ارائه‌دهندگان خدمات **فناوری اطلاعات و ارتباطات (ICT)** آنها، تدوین شده است. هدف اصلی DORA اطمینان از این است که بخش مالی اروپا بتواند در برابر اختلالات شدید عملیاتی دیجیتال، از جمله حملات سایبری، خرابی‌های سیستمی، و سایر رخدادهای مرتبط با ICT، مقاومت کرده، به آنها پاسخ دهد و از آنها بهبود یابد.

پیش از DORA، مدیریت ریسک ICT در بخش مالی عمدتاً تحت قوانین ملی یا دستورالعمل‌های مختلف و پراکنده بود. DORA این خلأ را پر می‌کند و یک رویکرد یکپارچه و هماهنگ را در سراسر اتحادیه اروپا ارائه می‌دهد. این مقررات نه تنها نهادهای مالی سنتی مانند بانک‌ها و شرکت‌های بیمه را پوشش می‌دهد، بلکه به طور مستقیم بر ارائه‌دهندگان خدمات ICT شخص ثالث که به این نهادها خدمات ارائه می‌دهند (مانند ارائه‌دهندگان خدمات ابری) نیز تأثیر می‌گذارد.

پنج رکن اصلی DORA عبارتند از:

• مدیریت ریسک فناوری اطلاعات و ارتباطات (ICT Risk Management): نهادهای مالی ملزم به ایجاد و حفظ یک چارچوب جامع برای مدیریت ریسک‌های ICT هستند. این شامل شناسایی، ارزیابی، حفاظت، تشخیص، پاسخ و بازیابی از ریسک‌ها می‌شود. این چارچوب باید با استراتژی کلی مدیریت ریسک نهاد یکپارچه باشد.
• مدیریت، طبقه‌بندی و گزارش‌دهی رخداد مرتبط با فناوری اطلاعات و ارتباطات (ICT-related Incident Management, Classification and Reporting): DORA الزام می‌کند که نهادهای مالی فرآیندهای قوی برای مدیریت رخدادهای ICT داشته باشند. این شامل تشخیص، مهار، ریشه‌یابی و بازیابی رخدادها است. همچنین، الزامات سختگیرانه‌ای برای طبقه‌بندی رخدادهای عمده و گزارش‌دهی به‌موقع آنها به مقامات ذی‌صلاح وجود دارد.
• آزمون تاب‌آوری عملیاتی دیجیتال (Digital Operational Resilience Testing): نهادها باید برنامه‌های آزمون تاب‌آوری عملیاتی دیجیتال را اجرا کنند. این شامل طیف وسیعی از آزمون‌ها، از جمله ارزیابی آسیب‌پذیری (Vulnerability Assessments)، آزمون نفوذ (Penetration Testing) و آزمون نفوذ پیشرفته مبتنی بر تهدید (Threat-Led Penetration Testing - TLPT) برای نهادهای بزرگ‌تر و حیاتی است.
• مدیریت ریسک شخص ثالث فناوری اطلاعات و ارتباطات (Managing of ICT Third-Party Risk): DORA وابستگی به ارائه‌دهندگان خدمات ICT شخص ثالث را یک ریسک مهم می‌شناسد. این مقررات، الزامات خاصی را برای مدیریت این ریسک‌ها، از جمله انجام ارزیابی‌های پیش از قرارداد، درج بندهای امنیتی در قراردادها، نظارت مستمر و تدوین استراتژی‌های خروج، وضع می‌کند.
• به اشتراک‌گذاری اطلاعات (Information Sharing): DORA شرکت‌های مالی را تشویق می‌کند تا اطلاعات و هوش تهدیدات سایبری (Cyber Threat Intelligence) را با یکدیگر به اشتراک بگذارند تا توانایی جمعی بخش مالی در برابر تهدیدات سایبری افزایش یابد.

در مجموع، DORA نه تنها بر رعایت مقررات تأکید دارد، بلکه هدف آن تضمین این است که تاب‌آوری عملیاتی دیجیتال در ذات هر نهاد مالی نهادینه شود تا بخش مالی اروپا در یک محیط دیجیتال که همواره در حال تغییر است، قوی و پایدار بماند.

---

الزامات اجرای DORA طبق چک‌لیست کامل

با توجه به تجربه گسترده من در زمینه‌های Network+، CCNA، CEH، CISM، CISA و CRISC، و همچنین فعالیت‌هایم در **برنامه‌نویسی پایتون**، **HTML**، **CSS** و **امنیت شبکه**، می‌توانم الزامات اجرای DORA را بر اساس چک‌لیست زیر به طور کامل تشریح کنم. این الزامات به سازمان‌ها کمک می‌کند تا چارچوبی محکم برای تاب‌آوری عملیاتی دیجیتال خود ایجاد کنند.

۱. چارچوب مدیریت ریسک فناوری اطلاعات و ارتباطات (ICT Risk Management Framework)

• **ایجاد یک چارچوب جامع مدیریت ریسک فناوری اطلاعات و ارتباطات:** تدوین و پیاده‌سازی سیاست‌ها و رویه‌های قوی برای شناسایی، ارزیابی، حفاظت، تشخیص، پاسخ‌گویی و بازیابی از ریسک‌های مرتبط با ICT. این چارچوب باید با استراتژی کلی مدیریت ریسک نهاد یکپارچه باشد.
• **شناسایی و طبقه‌بندی عملکردهای حیاتی و دارایی‌های ICT:** نقشه‌برداری و مستندسازی تمام عملکردهای حیاتی کسب‌وکار و سیستم‌های ICT، داده‌ها و دارایی‌های زیربنایی که از آنها پشتیبانی می‌کنند. وابستگی‌های متقابل و نقاط تک‌نقص را شناسایی کنید.
• **انجام ارزیابی‌های منظم ریسک فناوری اطلاعات و ارتباطات:** انجام دوره‌ای ارزیابی‌های ریسک برای شناسایی آسیب‌پذیری‌ها، تهدیدات (مانند حملات سایبری، خرابی سیستم، خطای انسانی) و تأثیرات احتمالی. از روش‌هایی مانند **تحلیل آسیب‌پذیری (Vulnerability Analysis)** و **آزمون نفوذ (Penetration Testing)** استفاده کنید.
• **پیاده‌سازی اقدامات حفاظتی و پیشگیرانه:** استقرار کنترل‌های امنیتی مناسب (مانند فایروال‌ها، سیستم‌های تشخیص و جلوگیری از نفوذ (IDS/IPS)، کنترل‌های دسترسی، رمزنگاری، مدیریت وصله‌ها) برای به حداقل رساندن احتمال و تأثیر ریسک‌های ICT.
• **استقرار مدیریت تداوم کسب‌وکار (BCM) و برنامه‌های بازیابی از فاجعه (DRP):** توسعه و نگهداری استراتژی‌های جامع BCP و DRP برای عملکردهای حیاتی، شامل اهداف زمان بازیابی (RTOs) و اهداف نقطه بازیابی (RPOs) واضح. این برنامه‌ها را به طور منظم آزمایش کنید.
• **تخصیص منابع کافی:** اطمینان حاصل کنید که منابع مالی، انسانی و فناورانه کافی برای حفظ تاب‌آوری عملیاتی دیجیتال اختصاص یافته است.
• **نگهداری سیستم‌ها و ابزارهای ICT:** اطمینان حاصل کنید که همه سیستم‌ها و ابزارهای ICT مقاوم، قابل اعتماد و به طور مداوم پایش می‌شوند. این شامل طراحی قوی شبکه (مانند VLAN، NAT، DHCP، QoS، VPN، MPLS) و مدیریت قدرتمند پایگاه داده (مانند MySQL، PostgreSQL، MongoDB، Oracle) است.
• **پیاده‌سازی چرخه عمر توسعه امن (SDLC):** یکپارچه‌سازی امنیت در کل چرخه عمر توسعه نرم‌افزار، با تأکید بر شیوه‌های کدنویسی امن و آزمون‌های امنیتی منظم برنامه‌های کاربردی (مانند بر اساس ۱۰ مورد برتر OWASP).

۲. مدیریت، طبقه‌بندی و گزارش‌دهی رخداد مرتبط با فناوری اطلاعات و ارتباطات (ICT-related Incident Management, Classification and Reporting)

• **تدوین یک طرح جامع پاسخ به رخداد فناوری اطلاعات و ارتباطات:** ایجاد یک طرح ساختاریافته برای مدیریت رخدادهای مرتبط با ICT، شامل تشخیص، تحلیل، مهار، ریشه‌کنی، بازیابی و بررسی پس از رخداد (درس‌های آموخته شده)، همسو با چارچوب‌هایی مانند NIST.
• **تعریف معیارهای روشن طبقه‌بندی رخداد:** تعیین آستانه‌ها و معیارهای روشن برای طبقه‌بندی رخدادهای ICT (مانند جزئی، عمده، مهم) بر اساس تأثیر آنها بر عملکردهای حیاتی، تعداد کاربران متأثر، از دست دادن داده‌ها و آسیب به اعتبار.
• **پیاده‌سازی مکانیزم‌های تشخیص قوی:** استفاده از ابزارهای پایش بلادرنگ (مانند SIEM، EDR)، تحلیل لاگ و هوش تهدید برای تشخیص سریع رخدادهای ICT.
• **اطمینان از گزارش‌دهی به‌موقع به مقامات ذی‌صلاح:** ایجاد پروتکل‌ها و رویه‌ها برای گزارش‌دهی رخدادهای عمده مرتبط با ICT به مقامات ملی ذی‌صلاح در مهلت‌های تعیین‌شده (مثلاً، اطلاع‌رسانی اولیه ظرف ۲۴ ساعت پس از آگاهی از رخداد عمده، و سپس گزارش‌های میانی و نهایی).
• **مستندسازی همه رخدادها و درس‌های آموخته شده:** نگهداری سوابق دقیق و جامع از همه رخدادهای ICT، از جمله تحلیل علت ریشه‌ای، تأثیر، اقدامات پاسخ‌گویی و تلاش‌های اصلاحی. از این بینش‌ها برای بهبود مستمر فرآیند مدیریت رخداد استفاده کنید.
• **انجام منظم تمرینات پاسخ به رخداد:** اجرای شبیه‌سازی‌های دوره‌ای حملات سایبری و اختلالات ICT برای آزمایش اثربخشی طرح پاسخ به رخداد و آمادگی تیم واکنش به حوادث رایانه‌ای (CERT).
• **گزارش‌دهی داوطلبانه تهدیدات سایبری مهم:** ایجاد قابلیت‌هایی برای اطلاع‌رسانی داوطلبانه تهدیدات سایبری مهم به مقامات ذی‌صلاح، حتی اگر منجر به رخداد نشده باشند، تا تبادل اطلاعات و دفاع جمعی تسهیل شود.

۳. آزمون تاب‌آوری عملیاتی دیجیتال (Digital Operational Resilience Testing)

• **ایجاد یک برنامه آزمون تاب‌آوری عملیاتی دیجیتال:** طراحی و پیاده‌سازی یک برنامه جامع برای آزمون ابزارها، سیستم‌ها و فرآیندهای ICT پشتیبان عملکردهای حیاتی.
• **انجام منظم ارزیابی‌های آسیب‌پذیری و آزمون نفوذ:** انجام دوره‌ای اسکن‌های آسیب‌پذیری و آزمون‌های نفوذ (شبکه، برنامه‌های وب بر اساس OWASP، موبایل، API) برای شناسایی و رفع نقاط ضعف. من تجربه گسترده‌ای با ابزارهایی مانند Metasploit و Burp Suite برای این منظور دارم.
• **پیاده‌سازی آزمون نفوذ پیشرفته مبتنی بر تهدید (TLPT):** برای نهادهای مالی که حیاتی تشخیص داده شده‌اند، TLPT را حداقل هر سه سال یک بار انجام دهید. این شامل آزمون پیشرفته‌ای است که حملات واقعی توسط عاملان تهدید پیچیده (تیم قرمز) را شبیه‌سازی می‌کند.
• **آزمون برنامه‌های تداوم کسب‌وکار و بازیابی از فاجعه:** به طور منظم اثربخشی BCP و DRP را از طریق سناریوهای مختلف، از جمله اختلالات ناشی از نقص شخص ثالث، آزمایش کنید.
• **تحلیل نتایج آزمون و رفع نواقص:** نتایج تمام آزمون‌های تاب‌آوری را به دقت بررسی کنید، آسیب‌پذیری‌ها و نواقص شناسایی شده را اولویت‌بندی کرده و برنامه‌های اصلاحی را به سرعت پیاده‌سازی کنید.
• **به‌روزرسانی سناریوهای آزمون:** سناریوهای آزمون را به طور مداوم برای بازتاب چشم‌انداز تهدیدات در حال تکامل و تکنیک‌های حمله جدید به‌روزرسانی کنید.

۴. مدیریت ریسک شخص ثالث فناوری اطلاعات و ارتباطات (Managing of ICT Third-Party Risk)

• **شناسایی و مستندسازی کلیه ارائه‌دهندگان شخص ثالث ICT:** نگهداری یک ثبت جامع از کلیه توافقات قراردادی با ارائه‌دهندگان خدمات شخص ثالث ICT، به ویژه آنهایی که از عملکردهای حیاتی یا مهم پشتیبانی می‌کنند.
• **انجام بررسی‌های لازم (Due Diligence) و ارزیابی ریسک:** انجام بررسی‌های لازم و ارزیابی‌های ریسک کامل بر روی ارائه‌دهندگان شخص ثالث ICT بالقوه و موجود، با ارزیابی امنیت ICT، قابلیت‌های تاب‌آوری عملیاتی و انطباق آنها با استانداردهای مربوطه.
• **گنجاندن الزامات DORA در قراردادها:** اطمینان حاصل کنید که توافقات قراردادی با ارائه‌دهندگان شخص ثالث ICT شامل مفاد خاصی است که الزامات DORA را پوشش می‌دهد، مانند سطوح خدمات، استانداردهای امنیتی، حقوق حسابرسی و مسئولیت‌های روشن در صورت بروز رخدادها.
• **پایش مستمر ریسک شخص ثالث:** ایجاد مکانیزم‌هایی برای پایش مداوم عملکرد امنیتی ارائه‌دهندگان شخص ثالث ICT. این شامل بررسی‌های منظم و حسابرسی‌ها می‌شود.
• **توسعه استراتژی‌های خروج:** ایجاد استراتژی‌های خروج جامع برای خدمات ICT ارائه شده توسط اشخاص ثالث، اطمینان حاصل کردن از اینکه نهاد مالی می‌تواند ارائه‌دهندگان را تغییر دهد یا خدمات را بدون اختلال بی‌مورد در عملکردهای حیاتی خود داخلی‌سازی کند.
• **پرداختن به ریسک تمرکز:** نظارت و مدیریت ریسک‌های ناشی از اتکا به تعداد محدودی از ارائه‌دهندگان شخص ثالث ICT حیاتی.

۵. به اشتراک‌گذاری اطلاعات (Information Sharing)

• **استقرار مکانیزم‌های به اشتراک‌گذاری اطلاعات:** توسعه و پیاده‌سازی فرآیندهایی برای تسهیل تبادل اطلاعات و هوش تهدیدات سایبری (مانند شاخص‌های نفوذ، تکنیک‌های حمله) با سایر نهادهای مالی و مقامات مربوطه.
• **مشارکت در ترتیبات داوطلبانه به اشتراک‌گذاری اطلاعات:** تشویق و امکان‌پذیری مشارکت در ترتیبات داوطلبانه تبادل و تحلیل اطلاعات عمومی-خصوصی (ISACs/ISAOs) متمرکز بر تهدیدات و آسیب‌پذیری‌های سایبری.
• **اطمینان از حفاظت از داده‌ها و محرمانگی:** پیاده‌سازی اقدامات حفاظتی مناسب برای اطمینان از حفاظت از داده‌های شخصی و اطلاعات محرمانه هنگام مشارکت در به اشتراک‌گذاری اطلاعات.

۶. حکمرانی و نظارت (Governance and Oversight)

• **تعریف نقش‌ها و مسئولیت‌های روشن:** اطمینان حاصل کنید که هیئت‌مدیره (مانند هیئت مدیره) به وضوح پیاده‌سازی چارچوب مدیریت ریسک ICT و سیاست‌های تاب‌آوری عملیاتی دیجیتال را تعریف، تأیید و نظارت می‌کند.
• **استقرار پاسخگویی:** پاسخگویی برای مدیریت ریسک ICT و تاب‌آوری عملیاتی را به وضوح در تمام سطوح سازمان تعیین کنید.
• **بررسی و تأیید منظم:** هیئت‌مدیره باید به طور منظم چارچوب مدیریت ریسک ICT، برنامه‌های تداوم کسب‌وکار ICT و برنامه‌های پاسخ و بازیابی رخداد را بررسی و هرگونه تغییرات اساسی را تأیید کند.
• **تخصیص بودجه:** اطمینان حاصل کنید که بودجه کافی برای ابتکارات تاب‌آوری عملیاتی دیجیتال، از جمله آموزش، آزمون و سرمایه‌گذاری‌های فناوری اختصاص یافته است.
• **ترویج فرهنگ تاب‌آوری عملیاتی دیجیتال:** تقویت فرهنگ امنیتی قوی در سازمان از طریق برنامه‌های آموزشی و آگاهی‌بخشی مستمر برای همه کارکنان، از مدیریت ارشد تا کارکنان عملیاتی. این شامل آموزش در مورد شناسایی حملات فیشینگ و مهندسی اجتماعی است.

۷. مستندسازی و نگهداری سوابق (Documentation and Record-Keeping)

• **نگهداری مستندات جامع:** نگهداری مستندات دقیق و به‌روز از تمام سیستم‌های ICT، پیکربندی‌ها، سیاست‌ها، رویه‌ها، ارزیابی‌های ریسک، نتایج آزمون، گزارش‌های رخداد و قراردادهای شخص ثالث.
• **اطمینان از دسترسی به مستندات:** اطمینان حاصل کنید که تمام مستندات مربوطه به راحتی برای ذینفعان داخلی و مقامات ذی‌صلاح در صورت نیاز قابل دسترسی است.
• **به‌روزرسانی منظم مستندات:** پیاده‌سازی یک فرآیند برای بررسی و به‌روزرسانی منظم تمام مستندات برای بازتاب تغییرات در محیط ICT، تهدیدات و الزامات نظارتی.

با رعایت این الزامات و بهره‌گیری از دانش و تجربه من در حوزه‌های مختلف امنیت سایبری، سازمان‌ها می‌توانند به سطح بالایی از تاب‌آوری عملیاتی دیجیتال دست یابند و از انطباق کامل با مقررات DORA اطمینان حاصل کنند. برای هرگونه مشاوره تخصصی بیشتر، می‌توانید از طریق وب‌سایت رسمی www.miralishahidi.ir یا ایمیل info@miralishahidi.ir با میرعلی شهیدی در ارتباط باشید. همچنین می‌توانید برای مشاهده رزومه فارسی من به این صفحه مراجعه کنید.