Казакстанда, Өзбекстанда, Грузияда же Кыргызстанда банк же финтех компаниясы түздөн-түз DORAнын талаптарына кирбеши мүмкүн — бирок ЕБден болгон кардарлар, төлөм өнөктөштөрү жана инвесторлор барган сайын далилденген санариптик туруктуулукту талап кылышат. Сүйлөшүүлөрдө «ISO барбы?» деген суроодон тышкары, инцидентти кантип өткөрөсүз, критикалык сервистерди кантип калыбына келтиресиз жана булутту/аутсорсингди кантип көзөмөлдөйсүз деген маселелер көтөрүлөт.
DORA — бул коопсуздук тууралуу гана эмес, туруктуулук тууралуу
DORA (аны көп учурда санариптик туруктуулук актысы деп аташат) финансылык секторго ылайыкташтырылган: төлөмдөрдүн үзгүлтүксүздүгү, аралыктан жеткиликтүү каналдардын жеткиликтүүлүгү, ИКТ-кооптуулуктарын башкаруу, подрядчылар менен иштөөнүн ачыктыгы жана текшерүүлөргө даярдык. Башкача айтканда, DORA уюмду «тирүү организм» катары карайт: бузулуу болгондо эмне болот, канчалык тез кадимки абалга кайтып келесиз жана муну документтер менен кантип далилдейсиз.
ISO 27001 кайсы жерде жардам берет, ал эми кайсы жерде “бирок” башталат
ISO маалыматтык коопсуздук — бул адатта ISO/IEC 27001 жана ISMS (маалыматтык коопсуздукту башкаруу системасы) түзүү дегенди билдирет. Банк же финтех үчүн бул күчтүү негиз: тобокелдикке негизделген башкаруу, жеткиликтүүлүктү көзөмөлдөө, саясаттар, мониторинг, инциденттерди башкаруу, ички аудиттер. Башкача айтканда, ISO боюнча маалыматтык коопсуздукту башкаруу системалуу иш алып барууга үйрөтөт.
Бирок DORA көп учурда негизги системанын үстүнөн «операциялык тактыкты» талап кылат: туруктуулукту үзгүлтүксүз тестирлөө, ИКТ-жеткирүүчүлөр менен (анын ичинде булут кызматтары) катуу иш алып баруу, калыбына келтирүүнүн өлчөнүүчү көрсөткүчтөрү жана түшүнүктүү сценарийлер боюнча инциденттер тууралуу билдирүүгө даярдык.
Финсектордогу ISO менен DORA күтүүлөрүнүн ортосундагы типтүү ажырымдар
Төмөндө — сертификат бар болсо да, банктар жана финтех компаниялары көбүнчө кайсы жерден мүдүрүлөрү көрсөтүлгөн. Башында бул жөн гана майда нюанстардай сезилет, бирок дал ушул жагдайларды өнөктөштөр жана аудиторлор текшеришет.
- Инциденттер жана билдирүүлөр: формалдуу классификация, эскалация триггерлери, бирдиктүү таймлайн жана регуляторлор/өнөктөштөр үчүн отчеттуулук шаблондору.
- Туруктуулукту тестирлөө: бир жолку DR-тест эмес, машыгуу программасы (tabletop, техникалык тесттер, провайдер иштен чыккан сценарийлерди текшерүү).
- Үчүнчү тараптарды башкаруу: жеткирүүчүлөрдүн реестри, критикалдуулукту баалоо, SLA/OLA талаптары, аудит жүргүзүү укугу, субподрядчыларды көзөмөлдөө, чыгуу планы (exit plan).
- Маалыматтык коопсуздук менен үзгүлтүксүздүктүн байланышы: RTO/RPO, сервистерди приоритеттөө (мобилдик банк, процессинг, KYC/AML агымдары) жана пландардын иш жүзүндө иштээрин далилдөө.
- Далилдер базасы: машыгуулар протоколдору, түзөтүү чараларынын жыйынтыктары, мониторинг жазуулары, комитет чечимдери — башкача айтканда, сөз менен эмес, документтер менен көрсөтүү.
Мунун баарын бирдиктүү картина катары караганда айкын болот: ISO 27001 киргизүү — мыкты каркас, бирок DORA талаптарына жетүү үчүн аны адатта туруктуулук, өлчөнүүчү көрсөткүчтөр жана жеткирүү чынжырын башкаруу менен “толуктоо” керек.
Банк/финтех ашыкча бюрократиясыз кантип даярданса болот
Иштеп турган ыкма — баарын нөлдөн кайра жазуу эмес, мэппинг жасоо: «DORA талаптарынын кайсылары ISO-контролдор менен жабылган, ал эми кайсы жерлерде толуктоо керек». Көп учурда 4 кадам жетиштүү:
- DORA vs ISO 27001 боюнча gap-анализ (процесстер + артефакттар);
- ИКТ-жеткирүүчүлөрдү башкарууну күчөтүү (контракттар, көзөмөл, exit plan);
- туруктуулукту тестирлөө программасы жана үзгүлтүксүз машыгуулар;
- далилдерди даярдоо: журналдар, отчеттор, KPI/KRI, чечимдер, жакшыртуу пландары.
СНГ аймагында System Management командасы адатта жыйынтык өнөктөштөр үчүн “сатууга жарактуу” болушу үчүн кошулат: түшүнүктүү документтер пакети, процесстердин жооптуу ээлери окутулган жана due diligence суроолоруна жооп берүүгө даярдык камсыздалган.
FAQ: Банктарга жана финтех компанияларына эң көп талап кылынган кызматтар
1) Эгер бизде ISO 27001 бар болсо, сиздер кантип жардам бере аласыздар?
Биз DORA боюнча gap-анализ жүргүзөбүз жана системаны практика менен тастыктала тургандай кылып тууралайбыз: туруктуулук тесттери, ИКТ-жеткирүүчүлөрдү башкаруу, инцидент-репортинг, өнөктөштөр жана аудиторлор үчүн далилдер базасы.
2) Сиздер “ачкыч тапшыруу” форматына чейин киргизүү жана сертификацияга даярдоону жасайсыздарбы?
Ооба. Кызматка ISO 27001 киргизүү, ISMS түзүү/жаңылоо, команданы окутуу, ички аудиттер, сертификациялык аудитти коштоо жана финсектор кардарларынын талаптарына ылайык артефакттар пакетин даярдоо кирет.
3) Долбоорлорду башкаруу аудити деген эмне жана ал финтехке эмне үчүн керек?
Бул өзгөрүүлөрдү жана ИТ-инициативаларды кантип башкарганыңызды текшерүү: ролдор, мөөнөттөрдү/тобокелдиктерди көзөмөлдөө, талаптардын сапаты, кабыл алуу процесси, метрикалар. Финтех үчүн бул өзгөчө маанилүү, анткени “начар релиз” кээде инцидентке тең. Аудит башаламандыкты азайтып, өзгөрүүлөрдү болжолдуу кылууга жардам берет.
4) Сиздер банктар менен гана иштейсиздерби?
Бул темада негизги фокус — банк/финтех жана финсектор үчүн ИТ-жеткирүүчүлөр. Бирок биз ИТ-компаниялар жана сервистик борборлор үчүн да сертификацияны коштойбуз, зарыл болсо башка тармактар менен да иштейбиз (анын ичинде котормо бюролору — эгер алар сезимтал маалыматтар жана корпоративдик кардарлар менен иштесе).
5) Өнөктөштүн текшерүүсүнөн өтпөй калуу коркунучу бар-жогун кантип тез билсе болот?
Эң ылдам жол — экспресс-диагностика: негизги процесстерди (инциденттер, жеткирүүчүлөр, калыбына келтирүү, тесттер, далилдер) текшерип, приоритеттери менен жакшыртуу жол картасын беребиз. System Management мындай диагностика жүргүзүп, сиздин масштабыңызга жана контрагенттердин талаптарына ылайык иш планын даярдай алат.
Керек болсо — текстти конкреттүү профилге (банк, процессинг, e-wallet, BNPL, төлөм шлюзу) ылайыкташтырып, кызмат баракчаңыз үчүн CTA кошуп берем.