Казакстан, Өзбекстан, Грузия жана Кыргызстандагы компаниялар барган сайын европалык банктар, финтех-өнөктөштөр жана маркетплейстер менен иштешүүдө — демек, алар DORAнын санариптик туруктуулук боюнча талаптарына туш болушат. Жакшы жаңылык: DORAга шайкеш болуу үчүн «велосипедди кайра ойлоп табуунун» кереги жок. Эки практикалык стандарт — ISO 22301 жана ISO/IEC 27035 — регулятордун күтүүлөрүнүн чоң бөлүгүн түшүнүктүү процесстер жана ролдор аркылуу жабат.
DORA бизнестен эмнени күтөт — жөнөкөй тил менен
DORA (Digital Operational Resilience Act) кагаз жүзүндөгү коопсуздукка эмес, компаниянын ИТ-үзгүлтүктөргө жана киберинциденттерге туруштук бере алышына, тез калыбына келишине жана подрядчылардагы тобокелдиктерди башкаруусуна көңүл бурат. Практикада адатта төмөнкүлөр текшерилет:
- ИКТ-тобокелдиктерди жана үзгүлтүксүздүктү башкаруунун жөнгө салынган модели барбы;
- инциденттерди аныктап, классификациялап жана талдай аласызбы;
- тестирлөө жана машыгууларды өткөрөсүзбү;
- критикалык жеткирүүчүлөрдү (булут кызматтары, аутсорсинг, дата-борборлор) көзөмөлдөйсүзбү.
Эгер бизнести авиакомпанияга салыштырсак, DORA коопсуздук курун (саясаттарды) гана эмес, экипаждын машыгууларын, чек-листтерди, «кара кутуларды» жана учакты үзгүлтүксүз текшерүүнү да көргүсү келет.
ISO 22301: DORA талаптарына ылайык бизнестин үзгүлтүксүздүгүнүн негизги каркасы
ISO 22301 бизнестин үзгүлтүксүздүгүн башкаруу системасын (BCMS) түзөт: тобокелдиктерди талдоодон жана BIAдан тартып калыбына келтирүү пландарына жана үзгүлтүксүз машыгууларга чейин. Бул DORAнын туруктуулук жана сервистерди калыбына келтирүү боюнча күтүүлөрүн түздөн-түз жабууга жардам берет.
Процедураларды киргизүүдөн мурун эмнени коргоп жатканыңызды жана канча убакыттык токтоп калуу жол берилерин так аныктоо маанилүү. ISO 22301де бул негизги артефакттар аркылуу формалдаштырылат:
- BIA (Business Impact Analysis): кайсы процесстер критикалык, кандай көз карандылыктар бар (адамдар, ИТ, жеткирүүчүлөр), токтоп калуунун кесепеттери;
- RTO/RPO: калыбына келтирүүнүн максаттуу убактысы жана маалыматтын жол берилген жоготуусу;
- үзгүлтүксүздүк стратегиялары: резервдөө, альтернативдүү аянтчалар, кол менен аткарылуучу процедуралар;
- реакция жана калыбына келтирүү пландары: ким эмне кылат, кандай ырааттуулукта, кардарлар жана өнөктөштөр менен кантип байланышуу керек;
- машыгуулар жана тесттер: план презентацияда гана эмес, чыныгы шартта да иштеши үчүн.
Мунун натыйжасында сизде бизнестин үзгүлтүксүздүгүн башкаруу боюнча окутуу үчүн жана өнөктөштөр/аудиторлор алдында жетилгендикти көрсөтүү үчүн башкарылуучу негиз пайда болот.
Стандарттын түзүмү жана колдонулушу тууралуу кеңири маалымат бул жерде.
ISO/IEC 27035: киберинциденттерге жооп кайтарууда тартип
Эгер ISO 22301 «баары бузулганда кантип иштөөнү улантабыз?» деген суроого жооп берсе, анда ISO/IEC 27035 — «инцидентти кантип туура жөнгө салуу жана андан сабак алуу керек?» деген суроого жооп берет. DORA үчүн бул абдан маанилүү, анткени регулятор так тартипти күтөт: аныктоо → баалоо → жооп кайтаруу → калыбына келтирүү → жакшыртуу.
Стандарт маалыматтык коопсуздук инциденттерин башкаруу системасын түзүүгө жардам берет. Мында чаттардагы башаламандык же «ИТдеги кимдир бирөөгө чалуу» эмес, так ролдор, критерийлер жана метрикалар болот. Мындай система адатта төмөнкүлөрдү камтыйт:
- окуяларды аныктоо жана каттоо эрежелери (SOC/логдор/колдоо кызматы);
- классификация жана приоритет берүү (кайсы учур олуттуу инцидент болуп эсептелет);
- жооп кайтаруу сценарийлери (ransomware, маалыматтын агып кетиши, аккаунттардын компрометациясы, DDoS);
- коммуникация жана эскалация (жетекчилик, юристтер, PR, өнөктөштөр);
- post-incident review: себептер, алынган сабактар, түзөтүүчү чаралар.
Ооба, дал ушул маалыматтык коопсуздук инциденттерин башкаруу чыгымдарды жана нервдерди үнөмдөйт: маселе канчалык тез локалдаштырылса, токтоп калуу жана репутациялык зыян ошончолук аз болот.
ISO/IEC 27035 стандартын киргизүү практикасы: кененирээк.
ISO 22301 жана ISO 27035 бирге DORAнын операциялык туруктуулук боюнча негизги талаптарын кантип камсыз кылат
Стандарттар өз-өзүнчө күчтүү, ал эми бирге «туруктуулук + жооп кайтаруу» деген бирдиктүү байланышты түзөт:
- ISO 22301 критикалык сервистерди, жол берилген токтоп калуу мөөнөттөрүн жана калыбына келтирүү сценарийлерин аныктайт.
- ISO/IEC 27035 киберинциденттерге жооп кайтаруу механизмин белгилейт, ал көп учурда үзгүлтүксүздүк пландарын ишке киргизген триггер болуп саналат.
- DORA даярдыкты үзгүлтүксүз текшерүүнү талап кылат — эки стандарт тең машыгууларга, тесттерге жана туруктуу жакшыртуу циклине таянат.
Киргизилгенден кийин компанияда бизнес, ИТ жана коопсуздук бөлүмдөрүнүн ортосунда «бирдиктүү тил» пайда болот — жана бир бөлүм инцидентти «майда нерсе» деп эсептеп жатканда, экинчи бөлүм кардарларды жоготуп жаткан кырдаалдар азаят.
Аймактагы компаниялар үчүн тез киргизүү планы
Документтерге «чөгүп» кетпеш үчүн ишти прагматикалык жол менен баштаңыз. «Систем Менеджмент» командасы адатта төмөнкү маршрутту сунуштайт:
- DORA талаптары жана учурдагы практикалар боюнча кыскача gap-анализ жүргүзүү;
- критикалык сервистерди жана көз карандылыктарды сүрөттөө (BIA, RTO/RPO);
- инциденттерге жооп кайтаруу процессин ишке киргизүү: ролдор, классификация, плейбуктар;
- жооп кайтарууну калыбына келтирүү пландары менен байланыштыруy (BCP/DR ким жана качан иштетет);
- машыгуу (table-top) өткөрүү жана жакшыртууларды каттоо.
Бул ыкма тез жыйынтык берет: сапаттуу өткөрүлгөн бир эле машыгуу кээде айларча талкуулаганга караганда алсыз жерлерди жакшыраак ачып берет.
Эгер сиз ЕБдеги финансылык өнөктөштөр менен иштесеңиз же кардарлардын жана аудиторлордун суроолоруна алдын ала даярданууну кааласаңыз, «Систем Менеджмент» процесстерди түзүүгө, окутуу өткөрүүгө жана текшерүү үчүн далил базасын даярдоого жардам берет.