Қазақстан, Өзбекстан, Грузия және Қырғызстандағы компаниялар еуропалық банктермен, финтех-серіктестермен және маркетплейстермен жиі жұмыс істей бастады — демек, цифрлық орнықтылыққа қойылатын DORA талаптарына тап болады. Жақсы жаңалық: DORA-мен «тіл табысу» үшін велосипедті қайта ойлап табудың қажеті жоқ. Екі практикалық стандарт — ISO 22301 және ISO/IEC 27035 — түсінікті процестер мен рөлдер арқылы реттеушінің күтулерінің басым бөлігін қамтиды.
DORA бизнестен қарапайым тілмен не күтеді
DORA (Digital Operational Resilience Act) қағаз жүзіндегі қауіпсіздікке емес, компанияның ІТ-істен шығулар мен киберинциденттерге төтеп беруіне, тез қалпына келуіне және мердігерлердегі тәуекелдерді басқаруына назар аударады. Тәжірибеде әдетте мыналарды тексереді:
- ИКТ тәуекелдері мен үздіксіздік бойынша басқарылатын модель бар ма;
- инциденттерді анықтап, жіктеп, талдай аласыз ба;
- тестілеу және оқу-жаттығулар өткізесіз бе;
- сыни жеткізушілерді (бұлт, аутсорс, дата-орталықтар) бақылайсыз ба.
Бизнесті әуе компаниясымен салыстырсақ, DORA тек қауіпсіздік белдігін (саясаттарды) ғана емес, экипаждың жаттығуын, чек-парақтарды, «қара жәшіктерді» және ұшақты тұрақты тексеруді де көргісі келеді.
ISO 22301: DORA талаптарына сай бизнестің үздіксіздігінің қаңқасы
ISO 22301 бизнестің үздіксіздігін басқару жүйесін (BCMS) құрады: тәуекелдерді талдау мен BIA-дан бастап, қалпына келтіру жоспарлары және тұрақты оқу-жаттығуларға дейін. Бұл қызметтердің орнықтылығы мен қалпына келуіне қатысты DORA күтулерін тікелей жабуға көмектеседі.
Процедураларды енгізбес бұрын, нақты нені қорғайтыныңызды және қанша тоқтап тұруға болатынын бекітіп алған маңызды. ISO 22301-де бұл негізгі артефактілер арқылы формалданады:
- BIA (Business Impact Analysis): қандай процестер критикалық, қандай тәуелділіктер бар (адамдар, ІТ, жеткізушілер), тоқтап қалудың салдары қандай;
- RTO/RPO: қалпына келтірудің мақсатты уақыты және деректердің жол берілетін жоғалту көлемі;
- үздіксіздік стратегиялары: резервтеу, балама алаңдар, қолмен орындалатын рәсімдер;
- әрекет ету және қалпына келтіру жоспарлары: кім не істейді, қандай ретпен, клиенттер мен серіктестерге қалай хабарланады;
- оқу-жаттығулар мен тесттер: жоспар тек презентацияда емес, шынайы жағдайда да жұмыс істеуі үшін.
Осының нәтижесінде сізде бизнестің үздіксіздігін басқару бойынша оқытуға да, серіктестер/аудиторлар алдында жетілгендік деңгейін көрсетуге де жарайтын басқарылатын база қалыптасады.
Стандарттың құрылымы мен қолданылуы туралы толығырақ мұнда.
ISO/IEC 27035: киберинциденттерге әрекет етуде тәртіп
Егер ISO 22301 «бәрі бұзылған кезде қалай өмір сүреміз?» деген сұраққа жауап берсе, онда ISO/IEC 27035 — «инцидентті қалай дұрыс реттеп, қорытынды шығарамыз?» дегенге жауап береді. DORA үшін бұл өте маңызды, өйткені реттеуші тәртіпті күтеді: анықтау → бағалау → әрекет ету → қалпына келтіру → жақсарту.
Стандарт ақпараттық қауіпсіздік инциденттерін басқару жүйесін құруға көмектеседі: чаттар мен «ІТ-дағы біреуге» қоңырау шалудан тұратын бейберекет жағдайдың орнына нақты рөлдер, критерийлер және метрикалар болады. Мұндай жүйеге әдетте мыналар кіреді:
- оқиғаларды анықтау және тіркеу қағидалары (SOC/лог жүргізу/қолдау қызметі);
- жіктеу және басымдық беру (нені маңызды инцидент деп санау керек);
- әрекет ету сценарийлері (ransomware, деректердің ағуы, аккаунттардың бұзылуы, DDoS);
- коммуникациялар және эскалация (басшылық, заңгерлер, PR, серіктестер);
- post-incident review: себептер, алынған сабақтар, түзетуші әрекеттер.
Иә, бұл — дәл сол ақпараттық қауіпсіздік инциденттерін басқару: ол ақша мен жүйкені үнемдейді. Мәселені қаншалықты тез оқшауласаңыз, тоқтап қалу уақыты да, беделге келетін зиян да соғұрлым аз болады.
ISO/IEC 27035 стандартын енгізу тәжірибесі: Толығырақ.
ISO 22301 және ISO 27035 бірлесіп DORA талаптарының операциондық орнықтылыққа қатысты негізгі талаптарының орындалуын қалай қамтамасыз етеді
Жеке-жеке стандарттар күшті, ал бірге олар «орнықтылық + әрекет ету» байланысын береді:
- ISO 22301 критикалық қызметтерді, рұқсат етілетін тоқтап қалу уақытын және қалпына келтіру сценарийлерін анықтайды.
- ISO/IEC 27035 киберинциденттерге әрекет ету механизмін орнатады, ол жиі үздіксіздік жоспарларының триггері болып табылады.
- DORA тұрақты дайындықты тексеруді талап етеді — екі стандарт та оқу-жаттығуларға, тестілеуге және жақсарту циклдарына негізделеді.
Енгізілгеннен кейін компанияда бизнес, ІТ және қауіпсіздік арасында «біртұтас тіл» пайда болады — және бір бөлім инцидентті «кішігірім нәрсе» деп санап, екінші бөлім тұтынушыларды жоғалтып отырмайды.
Өңірдегі компанияларға арналған енгізудің жылдам жоспары
Құжаттарға «батып кетпес» үшін, прагматикалық түрде бастаңыз. Систем Менеджмент командасы әдетте мынадай маршрутты ұсынады:
- DORA талаптары мен қазіргі тәжірибелерге қысқа gap-талдау жүргізу;
- критикалық сервистер мен тәуелділіктерді сипаттау (BIA, RTO/RPO);
- инциденттерге әрекет ету процесін іске қосу: рөлдер, жіктеу, плейбуктер;
- әрекет етуді қалпына келтіру жоспарларымен байланыстыру (BCP/DR-ды кім және қашан іске қосады);
- table-top оқу-жаттығуын өткізіп, жақсартуларды бекіту.
Бұл тез нәтиже береді: бір сапалы оқу-жаттығудың өзі кейде айлар бойғы талқылаудан да жақсырақ әлсіз тұстарды анықтайды.
Егер сіз ЕО-дағы қаржылық серіктестермен жұмыс істесеңіз немесе клиенттер мен аудиторлардың сұрауларына алдын ала дайындалғыңыз келсе, Систем Менеджмент процестерді құруға, оқыту өткізуге және тексеріс үшін дәлелдемелік базаны дайындауға көмектеседі.