Банк или финтех в Казахстане, Узбекистане, Грузии или Кыргызстане может не подпадать под DORA напрямую — но клиенты, платежные партнеры и инвесторы из ЕС всё чаще требуют доказуемой цифровой устойчивости. В переговорах звучат вопросы не только про «есть ли ISO», а про то, как вы переживёте инцидент, восстановите критичные сервисы и проконтролируете облако/аутсорсинг.
DORA — это не только про безопасность, а про устойчивость
DORA (его нередко называют акт цифровой устойчивости) заточен под финансовый сектор: непрерывность платежей, доступность дистанционных каналов, управляемость ИКТ-рисков, прозрачность работы с подрядчиками и готовность к проверкам. То есть DORA смотрит на организацию как на «живой организм»: что происходит при сбое, насколько быстро вы возвращаетесь в норму и как подтверждаете это документально.
Где помогает ISO 27001, а где начинаются “но”
ISO информационная безопасность — это обычно означает ISO/IEC 27001 и построение ISMS. Для банка/финтеха это сильная основа: риск-ориентированное управление, контроль доступа, политики, мониторинг, управление инцидентами, внутренние аудиты. Иными словами, менеджмент информационной безопасности по ISO учит действовать системно.
Однако DORA часто требует «операционной конкретики» поверх базовой системы: регулярные тесты устойчивости, строгую работу с ИКТ-поставщиками (включая облака), измеримые показатели восстановления, готовность к уведомлениям об инцидентах по понятным сценариям.
Типичные разрывы между ISO и ожиданиями DORA в финсекторе
Ниже — то, на чем чаще всего спотыкаются банки и финтехи, даже если сертификат уже есть. Сначала это выглядит как нюансы, но именно эти нюансы проверяют партнеры и аудиторы.
- Инциденты и уведомления: формальная классификация, триггеры эскалации, единый таймлайн и шаблоны отчетности для регуляторов/партнеров.
- Тестирование устойчивости: не разовый DR-тест, а программа упражнений (tabletop, технические тесты, проверка сценариев отказа провайдера).
- Управление третьими сторонами: реестр поставщиков, оценка критичности, требования к SLA/OLA, права на аудит, контроль субподрядчиков, план выхода (exit plan).
- Связка ИБ и непрерывности: RTO/RPO, приоритизация сервисов (мобильный банк, процессинг, KYC/AML-потоки) и доказательства, что планы реально работают.
- Доказательная база: протоколы учений, результаты корректирующих действий, записи мониторинга, решения комитетов, чтобы “показать руками”, а не словами.
Если собрать это в одну картину, становится ясно: внедрение ISO 27001 — отличный каркас, но для DORA его обычно нужно “достроить” устойчивостью, измеримостью и управлением цепочкой поставок.
Как банку/финтеху подготовиться без лишней бюрократии
Рабочий подход — не переписывать всё с нуля, а сделать мэппинг: «какие требования DORA уже покрыты ISO-контролями, а где нужны доработки». Часто достаточно 4 шагов:
- gap-анализ DORA vs ISO 27001 (процессы + артефакты);
- усиление управления ИКТ-поставщиками (контракты, контроль, exit plan);
- программа тестирования устойчивости и регулярные учения;
- подготовка доказательств: журналы, отчеты, KPI/KRI, решения, планы улучшений.
Команда System Management в СНГ обычно подключается так, чтобы результат был продаваемым для партнеров: понятный пакет документов, обученные владельцы процессов и готовность отвечать на due diligence.
FAQ: услуги, которые чаще всего нужны банкам и финтеху
1) Чем вы можете помочь, если у нас уже есть ISO 27001?
Мы проводим gap-анализ по DORA и донастраиваем систему так, чтобы она подтверждалась практикой: тесты устойчивости, управление ИКТ-поставщиками, инцидент-репортинг, доказательная база для партнеров и аудиторов.
2) Делаете ли вы под ключ внедрение и подготовку к сертификации?
Да. В услугу входит внедрение ISO 27001, построение/обновление ISMS, обучение команды, внутренние аудиты, сопровождение сертификационного аудита и подготовка пакета артефактов под требования клиентов финсектора.
3) Что такое аудит управления проектами и зачем он финтеху?
Это проверка того, как вы управляете изменениями и ИТ-инициативами: роли, контроль сроков/рисков, качество требований, приемка, метрики. Для финтеха это особенно важно, потому что “плохой релиз” иногда равен инциденту. Аудит помогает снизить хаос и сделать изменения предсказуемыми.
4) Вы работаете только с банками?
Основной фокус в этой теме — банк/финтех и ИТ-поставщики для финсектора, но мы также сопровождаем сертификацию для ИТ-компаний и сервисных центров, а при необходимости — и для других отраслей (включая бюро переводов, если они работают с чувствительными данными и корпоративными заказчиками).
5) Как быстро понять, есть ли риск не пройти проверку партнера?
Самый быстрый путь — экспресс-диагностика: проверяем ключевые процессы (инциденты, поставщики, восстановление, тесты, доказательства) и выдаем дорожную карту улучшений с приоритетами. System Management может провести такую диагностику и подготовить план работ под ваш масштаб и требования контрагентов.
Если нужно — адаптирую текст под конкретный профиль (банк, процессинг, e-wallet, BNPL, платежный шлюз) и добавлю CTA под вашу страницу услуг.