ყაზახეთიდან, უზბეკეთიდან, საქართველოდან და ყირგიზეთიდან კომპანიები სულ უფრო ხშირად თანამშრომლობენ ევროპულ ბანკებთან, ფინტექ-პარტნიორებთან და მარკეტპლეისებთან — რაც ნიშნავს, რომ ისინი ციფრული მდგრადობის მიმართ DORA-ს მოთხოვნებსაც აწყდებიან. კარგი ამბავი ისაა, რომ DORA-სთან „დამეგობრებისთვის“ ველოსიპედის თავიდან გამოგონება არ არის საჭირო. ორი პრაქტიკული სტანდარტი — ISO 22301 და ISO/IEC 27035 — რეგულატორის მოლოდინების დიდ ნაწილს ფარავს მკაფიო პროცესებისა და როლების მეშვეობით.
რას ელოდება DORA ბიზნესისგან მარტივი სიტყვებით
DORA (Digital Operational Resilience Act) ფოკუსირდება არა ქაღალდზე დაფუძნებულ უსაფრთხოებაზე, არამედ კომპანიის უნარზე გაუძლოს IT-შეფერხებებსა და კიბერინციდენტებს, სწრაფად აღდგეს და მართოს კონტრაქტორებთან დაკავშირებული რისკები. პრაქტიკაში, ჩვეულებრივ ამოწმებენ:
- არის თუ არა ICT-რისკებისა და უწყვეტობის მართვადი მოდელი;
- შეძლებთ თუ არა ინციდენტების აღმოჩენას, კლასიფიცირებას და ანალიზს;
- ატარებთ თუ არა ტესტირებებს და წვრთნებს;
- აკონტროლებთ თუ არა კრიტიკულ მომწოდებლებს (ქლაუდი, აუთსორსი, дата-ცენტრები).
თუ ბიზნესს ავიაკომპანიად წარმოვიდგენთ, DORA-ს სურს დაინახოს არა მხოლოდ უსაფრთხოების ღვედი (პოლიტიკები), არამედ ეკიპაჟის ვარჯიში, ჩეკ-ლისტები, „შავი ყუთები“ და თვითმფრინავის რეგულარული შემოწმებები.
ISO 22301: ბიზნესის უწყვეტობის „ჩონჩხი“ DORA-ს მოთხოვნებისთვის
ISO 22301 აყალიბებს ბიზნესის უწყვეტობის მართვის სისტემას (BCMS): რისკების ანალიზიდან და BIA-დან აღდგენის გეგმებამდე და რეგულარულ სავარჯიშოებამდე. ეს პირდაპირ ეხმარება DORA-ს მოლოდინების დაკმაყოფილებაში — მომსახურებების მდგრადობასა და აღდგენასთან დაკავშირებით.
პროცედურების დანერგვამდე მნიშვნელოვანია მკაფიოდ განისაზღვროს, რას იცავთ და რამდენი დროის გაჩერებაა დასაშვები. ISO 22301-ში ეს ფორმალიზდება საკვანძო არტეფაქტების მეშვეობით:
- - BIA (Business Impact Analysis): რომელი პროცესებია კრიტიკული, რა დამოკიდებულებები აქვთ (ადამიანები, IT, მომწოდებლები) და რა შედეგები მოჰყვება გაჩერებას;
- RTO/RPO: აღდგენის მიზნობრივი დრო და მონაცემების დასაშვები დაკარგვა;
- უწყვეტობის სტრატეგიები: რეზერვირება, ალტერნატიული ლოკაციები, ხელით შესრულებადი პროცედურები;
- რეაგირებისა და აღდგენის გეგმები: ვინ რას აკეთებს, რა თანმიმდევრობით და როგორ უნდა მოხდეს კომუნიკაცია კლიენტებთან და პარტნიორებთან;
- ვარჯიშები და ტესტები: რომ გეგმა იმუშაოს არა მხოლოდ პრეზენტაციაში.
ამის შემდეგ თქვენ გექნებათ მართვადი საფუძველი ბიზნესის უწყვეტობის მართვაში ტრენინგებისთვის — და ასევე სიმწიფის (maturity) დემონსტრირებისთვის პარტნიორებისა და აუდიტორების წინაშე.
დაწვრილებით სტანდარტის სტრუქტურისა და გამოყენების შესახებ აქ.
ISO/IEC 27035: წესრიგი კიბერინციდენტებზე რეაგირებაში
თუ ISO 22301 პასუხობს კითხვას „როგორ ვიცხოვროთ, როცა ყველაფერი ფუჭდება“, მაშინ ISO/IEC 27035 — „როგორ მოვაგვაროთ ინციდენტი სწორად და რა დასკვნები გამოვიტანოთ“. DORA-სთვის ეს კრიტიკულია, რადგან რეგულატორი დისციპლინას ელოდება: გამოვლენა → შეფასება → რეაგირება → აღდგენა → გაუმჯობესებები.
სტანდარტი ეხმარება ინფორმაციული უსაფრთხოების ინციდენტების მართვის სისტემის შექმნას, სადაც არ არის ქაოსი ჩატებიდან და ზარებიდან „ვიღაც IT-სთან“, არამედ არის როლები, კრიტერიუმები და მეტრიკები. ასეთ სისტემაში, როგორც წესი, შედის:
- მოვლენების აღმოჩენისა და რეგისტრაციის წესები (SOC/ლოგირება/საპორტ-სერვისი);
- კლასიფიკაცია და პრიორიტეტიზაცია (რა ჩაითვლება სერიოზულ ინციდენტად);
- რეაგირების სცენარები (ransomware, ინფორმაციის გაჟონვა, ანგარიშების კომპრომეტირება, DDoS);
- კომუნიკაცია და ესკალაცია (ხელმძღვანელობა, იურისტები, PR, პარტნიორები);
- post-incident review: მიზეზები, გაკვეთილები, კორექტირებელი მოქმედებები.
და დიახ, ეს სწორედ ის ინფორმაციული უსაფრთხოების ინციდენტების მართვაა, რომელიც ზოგავს ფულსაც და ნერვებსაც: რაც უფრო სწრაფად მოახდენთ პრობლემის ლოკალიზაციას, მით ნაკლები იქნება გაჩერება და რეპუტაციული ზიანი.
ISO/IEC 27035-ის დანერგვის პრაქტიკა: დაწვრილებით.
როგორ უზრუნველყოფენ ISO 22301 და ISO 27035 ერთად DORA-ს ოპერაციული მდგრადობის (Operational Resilience) ძირითადი მოთხოვნების შესრულებას
ცალ-ცალკე ეს სტანდარტები ძლიერია, ხოლო ერთად ქმნის ერთიან ბმას — „მდგრადობა + რეაგირება“:
- ISO 22301 განსაზღვრავს კრიტიკულ სერვისებს, დასაშვებ გაჩერებებს და აღდგენის სცენარებს.
- ISO/IEC 27035 ადგენს კიბერინციდენტებზე რეაგირების მექანიზმს, რომელიც ხშირად ბიზნესის უწყვეტობის გეგმების ტრიგერიც არის.
- DORA მოითხოვს მზადყოფნის რეგულარულ შემოწმებას — ორივე სტანდარტი ეყრდნობა ვარჯიშებს, ტესტებს და გაუმჯობესების ციკლს.
დანერგვის შემდეგ კომპანიას უჩნდება „ერთიანი ენა“ ბიზნესს, IT-სა და უსაფრთხოებას შორის — და ნაკლებია სიტუაციები, როცა ერთ დეპარტამენტს ინციდენტი „წვრილმანად“ ეჩვენება, ხოლო მეორე უკვე კლიენტებს კარგავს.
რეგიონის კომპანიებისთვის დანერგვის სწრაფი გეგმა
რომ დოკუმენტებში არ „ჩაიძიროთ“, დაიწყეთ პრაგმატულად. System Management-ის გუნდი, როგორც წესი, ასეთ მარშრუტს რეკომენდაციას უწევს:
- ჩაატაროთ მოკლე gap-ანალიზი DORA-ს მოთხოვნებთან და მიმდინარე პრაქტიკებთან მიმართებით;
- აღწეროთ კრიტიკული სერვისები და დამოკიდებულებები (BIA, RTO/RPO);
- გაუშვათ ინციდენტებზე რეაგირების პროცესი: როლები, კლასიფიკაცია, playbook-ები;
- დააკავშიროთ რეაგირება აღდგენის გეგმებთან (ვინ და როდის ააქტიურებს BCP/DR-ს);
- ჩაატაროთ წვრთნა (table-top) და დააფიქსიროთ გაუმჯობესებები.
ეს სწრაფ შედეგს იძლევა: ხშირად ერთი ხარისხიანი წვრთნა ვიწრო ადგილებს უკეთ ავლენს, ვიდრე თვეების განმავლობაში მიმდინარე განხილვები.
თუ თქვენ მუშაობთ ევროკავშირში ფინანსურ პარტნიორებთან ან გსურთ წინასწარ მოემზადოთ კლიენტებისა და აუდიტორების მოთხოვნებისთვის, System Management დაგეხმარებათ პროცესების აწყობაში, ტრენინგების ჩატარებასა და შემოწმებისთვის საჭირო მტკიცებულებითი ბაზის მომზადებაში.