Zajištění souladu s DORA za použití přístupů podnikové architektury

Název práce: Zajištění souladu s DORA za použití přístupů podnikové architektury
Autor(ka) práce: Kostelník, Radim
Typ práce: Diplomová práce
Vedoucí práce: Sládek, Pavel
Oponenti práce: Maryška, Miloš
Jazyk práce: Česky
Abstrakt:
Tato diplomová práce se zabývá návrhem a pilotním ověřením implementace procesu analýzy rizik informačních a komunikačních technologií (IKT) v prostředí bankovní instituce, a to v souladu s požadavky nařízení Evropského parlamentu a Rady EU 2022/2554 (DORA). Práce identifikuje nedostatečné sladění interních procesů řízení IKT rizik v organizaci s nově formulovanými regulatorními požadavky, které vznikají v reakci na výrazný nárůst kybernetických hrozeb ohrožujících dostupnost a bezpečnost digitálních služeb v kritických sektorech. Hlavním cílem práce je vytvořit konkrétní, efektivní, opakovatelný a regulatorně vyhovující přístup k analýze IKT rizik. K dosažení tohoto cíle jsou využity principy a metodiky vybraných kyberbezpečnostních rámců (např. NIST Cybersecurity Framework 2.0, normy ISO řady 27000 a 31000) v kombinaci s přístupy a nástroji podnikové architektury (EA), včetně TOGAF, ArchiMate a CMDB. Výsledkem je metodický postup doplněný architektonickými artefakty, jehož vývoj je ukotven v metodě Design Science Research (DSR). Klíčovým aspektem návrhu je zavedení systematického a řízeného procesu identifikace a hodnocení IKT rizik na úrovni aplikací s využitím existující Konfigurační databáze (CMDB) jako primárního datového zdroje informací o primárních a podpůrných aktivech. Proces zahrnuje automatizovanou klasifikaci aplikací na základě bezpečnostní triády (důvěrnost, integrita, dostupnost), výběr kritických aplikací pro detailní analýzu a strukturované workshopy pro identifikaci rizik s využitím katalogů zranitelností a riskových scénářů. Dále je navržena a implementována centrální evidence IKT rizik v nástroji Jira, která umožňuje transparentní sledování rizik a jejich vazeb na aplikace a obchodní funkce. Návrh byl na metodické úrovni ověřen externí konzultací a pilotním testováním na deseti kritických aplikacích v bankovní instituci. Pilotní provoz potvrdil funkčnost a použitelnost navrženého procesu v praxi a přinesl cenné poznatky pro jeho další iterativní rozvoj. Výsledné řešení přispívá k posílení digitální provozní odolnosti organizace, zajištění souladu s regulatorními požadavky DORA a podpoře konzistentního a auditovatelného rámce pro řízení IKT rizik uvnitř organizace.
Klíčová slova: Podniková Architektura; Analýza IKT Rizik; Řízení IKT Rizik; Konfigurační Databáze (CMDB); DORA
Název práce: Ensuring DORA compliance through Enterprise Architecture approaches
Autor(ka) práce: Kostelník, Radim
Typ práce: Diploma thesis
Vedoucí práce: Sládek, Pavel
Oponenti práce: Maryška, Miloš
Jazyk práce: Česky
Abstrakt:
This thesis addresses the design and pilot testing of the implementation of an information and communication technology (ICT) risk analysis process in a banking institution environment, in accordance with the requirements of the European Parliament and Council Regulation (EU) 2022/2554 (DORA). The thesis identifies the lack of alignment of an organisation's internal ICT risk management processes with newly formulated regulatory requirements that are emerging in response to the significant increase in cyber threats to the availability and security of digital services in critical sectors. The main objective of this work is to develop a specific, effective, repeatable and regulatory compliant approach to ICT risk analysis. To achieve this objective, the principles and methodologies of selected cybersecurity frameworks (e.g. NIST Cybersecurity Framework 2.0, ISO 27000 and 31000 series standards) are used in combination with enterprise architecture (EA) approaches and tools, including TOGAF, ArchiMate and CMDB. The result is a methodological approach complemented by architectural artifacts, the development of which is anchored in the Design Science Research (DSR) method. A key aspect of the proposal is the introduction of a systematic and controlled process for identifying and assessing ICT risks at the application level, using the existing Configuration Management Database (CMDB) as the primary data source for information on primary and supporting assets. The process includes automated classification of applications based on the security triad (confidentiality, integrity, availability), selection of critical applications for detailed analysis, and structured risk identification workshops using vulnerability catalogues and risk scenarios. In addition, a central ICT risk register in Jira is designed and implemented to allow transparent tracking of risks and their links to applications and business functions. The design was validated at the methodological level by external consultation and pilot testing on ten critical applications in a banking institution. The pilot confirmed the functionality and usability of the proposed process in practice and provided valuable insights for its further iterative development. The resulting solution contributes to strengthening the organization's digital operational resilience, ensuring compliance with DORA regulatory requirements, and supporting a consistent and auditable ICT risk management framework within the organization.
Klíčová slova: Enterprise Architecture; ICT Risk Analysis; Configuration Management Database (CMDB); DORA; ICT Risk Management

Informace o studiu

Studijní program / obor: Informační systémy a technologie/Řízení podnikové informatiky
Typ studijního programu: Magisterský studijní program
Přidělovaná hodnost: Ing.
Instituce přidělující hodnost: Vysoká škola ekonomická v Praze
Fakulta: Fakulta informatiky a statistiky
Katedra: Katedra informačních technologií

Informace o odevzdání a obhajobě

Datum zadání práce: 1. 11. 2024
Datum podání práce: 26. 6. 2025
Datum obhajoby: 2025

Soubory ke stažení

Soubory budou k dispozici až po obhajobě práce.

    Poslední aktualizace: