АНАЛІЗ ВПЛИВУ ВИМОГ DIGITAL OPERATIONAL RESILIENCE ACT (DORA) НА ПРОЦЕС БЕЗПЕЧНОЇ РОЗРОБКИ ПРОГРАМНОГО ЗАБЕЗПЕЧЕННЯ
DOI:
https://doi.org/10.28925/2663-4023.2025.28.852Ключові слова:
DORA; кіберстійкість; безпечна розробка програмного забезпечення; інформаційна безпека; управління ризиками; фінансові установи; моніторинг; управління інцидентами.Анотація
У статті здійснено комплексний аналіз впливу Регламенту Європейського Союзу Digital Operational Resilience Act (DORA) на безпечний життєвий цикл розробки програмного забезпечення (Secure Software Development Life Cycle, Secure SDLC) у фінансовому секторі. В умовах стрімкої цифрової трансформації банківських, страхових та інвестиційних послуг, DORA формує нову обов’язкову нормативну основу цифрової операційної стійкості, що охоплює широкий спектр напрямів, зокрема управління ризиками, пов’язаними з інформаційно-комунікаційними технологіями (ІКТ), обов’язкове звітування про серйозні кіберінциденти, регулярне тестування безпеки, контроль постачальників ІТ-послуг, а також координацію обміну інформацією про загрози між суб’єктами фінансового ринку. У роботі детально розглянуто п’ять ключових вимог DORA, визначених у тексті Регламенту, з акцентом на їх послідовну інтеграцію в усі етапи Secure SDLC — від ініціалізації, планування, аналізу вимог і проєктування архітектури до реалізації, тестування, впровадження, технічної підтримки, модернізації та виведення з експлуатації. Окрема увага приділяється питанням впровадження інструментів автоматизованого тестування безпеки (SAST, DAST, IAST), використанню систем виявлення аномальної активності (SIEM, UEBA), впровадженню Software Bill of Materials (SBOM) для підвищення прозорості компонентів, а також розробці та впровадженню планів реагування на інциденти (IRP) і планів забезпечення безперервності бізнесу (BCP). Запропоновано таблицю узгодження ключових статей DORA з відповідними фазами життєвого циклу SDLC, що дозволяє ідентифікувати критичні точки відповідності, зменшити прогалини у безпеці та оптимізувати впровадження вимог цифрової стійкості. У дослідженні розглянуто сучасні підходи до інтеграції безпекових практик у CI/CD-процеси, важливість підвищення обізнаності працівників щодо актуальних кіберзагроз, а також формування культури безпеки, орієнтованої на проактивний захист навіть після розгортання ПЗ. Зазначається, що дотримання вимог DORA не слід розглядати виключно як відповідь на регуляторний тиск, а як основу для довгострокової трансформації корпоративної цифрової безпеки у фінансових установах. Результати дослідження становлять інтерес для розробників програмного забезпечення, спеціалістів з інформаційної безпеки, фахівців з управління ризиками, регуляторів та внутрішніх і зовнішніх аудиторів, які прагнуть забезпечити відповідність новим нормативним вимогам і посилити цифрову стійкість організацій у високоризиковому середовищі.
Завантаження
Посилання
The Digital Operational Resilience Act (DORA) - Regulation (EU) 2022/2554. (n. d.). https://www.digital-operational-resilience-act.com/
Preparing for DORA: 5 Pillars of DORA and How to Achieve Compliance. (n. d.). https://sigma.software/about/media/preparing-for-dora-5-pillars-of-dora-and-how-to-achieve-complia nce
Navigating DORA Compliance: Software Development Requirements for Financial Services Companies. (n. d.). https://jfrog.com/blog/navigating-dora-compliance-software-development-requirements-for-financialservices-companies/
Digital Operational Resilience Act (DORA) - Central Bank of Ireland. (n. d.). https://www.centralbank.ie/regulation/digital-operational-resilience-act-dora
What is DORA? - Microsoft Learn. (n. d.). https://learn.microsoft.com/en-us/compliance/dora/dora-what-is-dora
DORA Regulation: Summary, Compliance Checklist + Training – Hoxhunt. (n. d.). https://hoxhunt.com/blog/dora-regulation
Secure Software Development Lifecycle (SSDLC) - Security-as-a-Service.io. (n. d.). https://security-as-a-service.io/en/it-security-solutions/secure-software-development-lifecycle-ssdlc-how-companies-integrate-security-into-the-development-process-with-iso-27001-and-c5/
Third-Party Risk Management under DORA - SAP LeanIX. (n. d.). https://www.leanix.net/en/wiki/trm/third-party-risk-management-under-dora
Art. 6 ICT risk management framework - dora-info.eu. (n. d.). https://www.dora-info.eu/dora/article-6/
DORA: EU regulation on digital operational resilience of financial institutions – Deloitte. (n. d.). https://www.deloitte.com/cz-sk/en/services/consulting/perspectives/eu-dora-digital-operational-resilience-act-fo r-financial-services.html
Implementing DORA: EU Financial Entities, Here’s What You Should Know – Sprinto. (n. d.). https://sprinto.com/blog/dora-implementation/
Reporting Major ICT-related Incidents and Significant Cyber Threats under DORA - Central Bank of Ireland. (n. d.). https://www.centralbank.ie/regulation/digital-operational-resilience-act-dora/reporting-major-ict-related-inciden ts-and-significant-cyber-threats
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Євгеній Курій, Віталій Сусукайло, Анна Єрофеєва, Марта Нестерюк
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.
