Qazaxıstan, Özbəkistan, Gürcüstan və Qırğızıstandan olan şirkətlər getdikcə daha tez-tez Avropa bankları, fintex tərəfdaşları və marketplace-lərlə əməkdaşlıq edir — bu da o deməkdir ki, onlar rəqəmsal dayanıqlılıqla bağlı DORA tələbləri ilə üzləşirlər. Yaxşı xəbər: DORA ilə “dostlaşmaq” üçün velosiped ixtira etməyə ehtiyac yoxdur. İki praktik standart — ISO 22301 və ISO/IEC 27035 — aydın proseslər və rollar vasitəsilə tənzimləyicinin gözləntilərinin böyük hissəsini qarşılayır.
DORA-nın biznesdən sadə dillə nə gözlədiyi
DORA (Digital Operational Resilience Act) diqqəti kağız üzərində təhlükəsizliyə yox, şirkətin İT nasazlıqlarına və kiberinsidentlərə davam gətirmə qabiliyyətinə, tez bərpa olunmasına və podratçılarla bağlı riskləri idarə etməsinə yönəldir. Praktikada adətən aşağıdakılar yoxlanılır:
- İKT riskləri və fasiləsizliyin idarə olunan modeli varmı;
- insidentləri aşkar etmək, təsnifləndirmək və təhlil etmək bacarığınız varmı;
- testlər və təlim məşqləri keçirirsinizmi;
- kritik təchizatçıları (bulud xidmətləri, autsors, data mərkəzləri) nəzarətdə saxlayırsınızmı.
Biznesi aviaşirkət kimi təsəvvür etsək, DORA təkcə təhlükəsizlik kəmərini (siyasətləri) deyil, həm də ekipajın məşqlərini, чек-listləri, “qara qutuları” və təyyarənin müntəzəm yoxlanışlarını görmək istəyir.
ISO 22301: DORA tələblərinə uyğun biznes fasiləsizliyinin əsas karkası
ISO 22301 biznes fasiləsizliyinin idarəetmə sistemini (BCMS) qurur: risklərin təhlili və BIA-dan tutmuş bərpa planlarına və müntəzəm təlim məşqlərinə qədər. Bu, xidmətlərin dayanıqlılığı və bərpası ilə bağlı DORA-nın gözləntilərini birbaşa şəkildə qarşılamağa kömək edir.
Prosedurları tətbiq etməzdən əvvəl, nəyin qorunduğunu və nə qədər dayanmanın qəbul edilə biləcəyini dəqiq müəyyənləşdirmək vacibdir. ISO 22301-də bu, əsas artefaktlar vasitəsilə rəsmiləşdirilir:
- BIA (Business Impact Analysis): hansı proseslər kritikdir, hansı asılılıqlar var (insanlar, İT, təchizatçılar), dayanmanın hansı nəticələri olur;
- RTO/RPO: bərpa üçün hədəf vaxt və məlumat itkisinin yol verilən həddi;
- fasiləsizlik strategiyaları: ehtiyatlandırma, alternativ sahələr, əl ilə icra olunan prosedurlar;
- reaksiya və bərpa planları: kim nə edir, hansı ardıcıllıqla, müştərilərə və tərəfdaşlara necə kommunikasiya olunur;
- təlim məşqləri və testlər: planın yalnız təqdimatda deyil, real vəziyyətdə də işləməsi üçün.
Bundan sonra biznes fasiləsizliyinin idarə edilməsi üzrə təlim üçün — və tərəfdaşlar/auditorlar qarşısında yetkinliyi göstərmək üçün — idarə olunan bir baza formalaşır.
Standartın strukturu və tətbiqi barədə daha ətraflı məlumat burada.
ISO/IEC 27035: kiberinsidentlərə cavab vermədə nizam-intizam
Əgər ISO 22301 “hər şey sıradan çıxanda necə yaşamaq” sualına cavab verirsə, ISO/IEC 27035 isə “insidenti necə düzgün idarə etmək və nəticə çıxarmaq” sualına cavab verir. DORA üçün bu, kritikdir, çünki tənzimləyici intizam gözləyir: aşkarlama → qiymətləndirmə → reaksiya → bərpa → təkmilləşdirmə.
Standart informasiya təhlükəsizliyi insidentlərinin idarə edilməsi sistemini qurmağa kömək edir: burada çatlar və “İT-dən kiməsə zəng edin” tipli xaos yoxdur, əvəzində rollar, meyarlar və metrikalar var. Belə sistemə adətən aşağıdakılar daxildir:
- hadisələrin aşkarlanması və qeydiyyatı qaydaları (SOC/loqların aparılması/dəstək xidməti);
- təsnifat və prioritetləşdirmə (nəyi ciddi insident saymaq);
- reaksiya ssenariləri (ransomware, məlumat sızması, hesabların komprometasiyası, DDoS);
- kommunikasiya və eskalasiya (rəhbərlik, hüquqşünaslar, PR, tərəfdaşlar);
- post-incident review: səbəblər, dərslər, düzəldici tədbirlər.
Və bəli, bu elə həmin İB insidentlərinin idarə edilməsidir ki, pulunuza və əsəblərinizə qənaət edir: problemi nə qədər tez lokallaşdırsanız, dayanma müddəti və reputasiya zərəri bir o qədər az olar.
ISO/IEC 27035-in tətbiqi praktikası: daha ətraflı.
ISO 22301 və ISO 27035 standartları birlikdə əməliyyat dayanıqlılığı ilə bağlı DORA-nın əsas tələblərinə uyğunluğu necə təmin edir
Ayrı-ayrılıqda standartlar güclüdür, birlikdə isə “dayanıqlılıq + reaksiya” bağını yaradır:
- ISO 22301 kritik xidmətləri, yol verilən dayanma müddətlərini və bərpa ssenarilərini müəyyən edir.
- ISO/IEC 27035 kiberinsidentlərə reaksiya mexanizmini qurur və bu, çox vaxt fasiləsizlik planlarını işə salan “tətik” olur.
- DORA hazırlıq səviyyəsinin müntəzəm yoxlanmasını tələb edir — hər iki standart təlim məşqlərinə, testlərə və təkmilləşdirmə dövrünə əsaslanır.
Tətbiqdən sonra şirkətdə biznes, İT və təhlükəsizlik arasında “vahid dil” formalaşır — və bir şöbənin insidenti “xırda məsələ” saydığı, digərinin isə artıq müştərilər itirdiyi vəziyyətlər daha az olur.
Region şirkətləri üçün sürətli tətbiq planı
Sənədlərdə “boğulmamaq” üçün praqmatik başlayın. “Sistem Menecment” komandası adətən belə bir marşrutu tövsiyə edir:
- DORA və mövcud təcrübələr üzrə qısa gap-analiz aparmaq;
- kritik xidmətləri və asılılıqları təsvir etmək (BIA, RTO/RPO);
- insidentlərə reaksiya prosesini işə salmaq: rollar, təsnifat, playbook-lar;
- reaksiyanı bərpa planları ilə əlaqələndirmək (BCP/DR-ni kim və nə vaxt aktivləşdirir);
- table-top məşqi keçirmək və təkmilləşdirmələri qeydə almaq.
Bu, tez nəticə verir: hətta bir keyfiyyətli məşq belə, bəzən aylarla müzakirədən daha yaxşı “dar boğazları” üzə çıxarır.
Əgər siz Aİ-də maliyyə tərəfdaşları ilə işləyirsinizsə və ya müştərilər və auditorların sorğularına əvvəlcədən hazırlaşmaq istəyirsinizsə, “Sistem Menecment” prosesləri qurmağa, təlim keçməyə və yoxlama üçün sübut bazasını hazırlamağa kömək edəcək.