Gazagystanda, Özbegistanda, Gruziýada ýa-da Gyrgyzystanda bank ýa-da finthek DORA-nyň göni talaplaryna düşmezligi mümkin — emma ÝB-den müşderiler, töleg hyzmatdaşlary we maýadarlar sanly durnuklylygyň subut edilýän derejesini has ýygy talap edýärler. Gepleşiklerde diňe «ISO barmy?» diýen soraglar däl, eýsem insidentden nähili geçersiňiz, möhüm hyzmatlary nädip dikeldersiňiz we bulut/aýtsorsing işini nähili gözegçilikde saklarsyňyz diýen soraglar hem berilýär.
DORA — diňe howpsuzlyk däl, durnuklylyk barada
DORA (köplenç sanly durnuklylyk baradaky akt diýip atlandyrylýar) maliýe sektoryna gönükdirilendir: tölegleriň üznüksizligi, uzakdan hyzmat kanallarynyň elýeterliligi, IKT-töwekgelçilikleriň dolandyrylyşy, potratçylar bilen işiň açyk-äşgärligi we barlaglara taýýarlyk. Ýagny, DORA guramany «janly organizm» ýaly görýär: bökdençlik bolanda näme bolýar, kadaly işe näçe tiz dolanýarsyňyz we muny resminamalar arkaly nähili tassyklaýarsyňyz.
ISO 27001 nirede kömek edýär, nirden “emma” başlaýar
ISO maglumat howpsuzlygy diýlende köplenç ISO/IEC 27001 we ISMS (SUID) gurmak göz öňünde tutulýar. Bank/finthek üçin bu güýçli esas: töwekgelçilige esaslanýan dolandyryş, elýeterlilige gözegçilik, syýasatlar, monitoring, insidentleri dolandyrmak, içerki auditler. Başgaça aýdanyňda, ISO boýunça maglumat howpsuzlygyny dolandyrmak ulgamlaýyn hereket etmegi öwredýär.
Emma DORA köplenç esasy ulgamyň üstüne «operasion anyklygy» talap edýär: durnuklylyk boýunça yzygiderli synaglar, IKT- üpjün edijiler bilen (bulut hyzmatlaryny hem goşmak bilen) has berk iş tertibi, dikeldiş boýunça ölçenip bilinýän görkezijiler, düşnükli ssenariýalar boýunça insidentler barada habar bermäge taýýarlyk.
ISO bilen DORA garaşylýanlarynyň arasyndaky maliýe sektoryndaky adaty boşluklar
Aşakda — banklaryň we finthekleriň, hatda şahadatnama eýýäm bar bolsa-da, köplenç büdräp galýan ýerleri. Ilkibaşda bular ownuk-uşak ýaly görünýär, ýöne hyzmatdaşlar we auditorlar hut şolar ýaly “ownuklyklary” barlaýarlar.
- Insidentler we habar berişler: resmi klassifikasiýa, eskalasiýa triggerleri, bitewi wagtyň çyzygy (timeline) we regulatorlar/hyzmatdaşlar üçin hasabat şablonlary.
- Durnuklylyk synagy: diňe bir gezeklik DR-testi däl, eýsem maşklar programmasy (tabletop, tehniki testler, üpjün edijiniň işden çykmagy boýunça ssenariýalaryň barlanyşy).
- Üçünji taraplary dolandyrmak: üpjün edijiler reýestri, kritiklik bahasy, SLA/OLA talaplary, audit hukugy, subpotratçylara gözegçilik, çykmak meýilnamasy (exit plan).
- Maglumat howpsuzlygy bilen üznüksizligiň baglanyşy: RTO/RPO, hyzmatlary ileri tutmak (mobil bank, prosessing, KYC/AML akymlary) we meýilnamalaryň hakykatdan işleýändiginiň subutnamalary.
- Subutnama bazasy: okuw/maşk protokollary, düzediş çäreleriniň netijeleri, monitoring ýazgylary, komitet kararlary — “söz bilen däl-de, el bilen görkezmek” üçin.
Bularyň hemmesini bir bitewi surata jemleseňiz, düşnükli bolýar: ISO 27001-i ornaşdyrmak — ajaýyp karkas, ýöne DORA üçin ony köplenç durnuklylyk, ölçenip bilinýän görkeziji (measurability) we üpjünçilik zynjyryny dolandyrmak arkaly “dolduryp gurmak” gerek bolýar.
Artykmaç býurokratiýasyz bank/finthek nädip taýýarlanmaly
Işleýän çemeleşme — hemme zady noldan täzeden ýazmak däl, eýsem mэппинг etmek: «DORA-nyň haýsy talaplaryny ISO gözegçilikleri eýýäm ýapýar, haýsy ýerlerde bolsa kämilleşdiriş gerek». Köplenç 4 ädim ýeterlik bolýar:
- DORA vs ISO 27001 gap-analiz (prosesler + artefaktlar);
- IKT-üpjün edijileri dolandyrmagy güýçlendirmek (şertnamalar, gözegçilik, exit plan);
- durnuklylyk synaglarynyň programmasy we yzygiderli okuwlar/maşklar;
- subutnamalary taýýarlamak: žurnallar, hasabatlar, KPI/KRI, kararlar, gowulandyrmak meýilnamalary.
GDA ýurtlarynda System Management topary adatça şeýle goşulýar, netijäniň hyzmatdaşlar üçin “satylýan” bolmagy üçin: düşnükli resminamalar bukjasy, okadylan proses eýeleri we due diligence soraglaryna jogap bermäge taýýarlyk.
FAQ: banklara we fintheka köplenç gerek bolýan hyzmatlar
1) ISO 27001 eýýäm bar bolsa, nämede kömek edip bilersiňiz?
Biz DORA boýunça gap-analiz geçirýäris we ulgamy şeýle derejede goşmaça sazlaýarys, onuň işleýşi amalda hem tassyklanyp bilsin: durnuklylyk synaglary, IKT-üpjün edijileri dolandyrmak, insidentler boýunça hasabat (incident-reporting), hyzmatdaşlar we auditorlar üçin subutnama bazasy.
2) “Açar tabşyrmak” görnüşinde ornaşdyrma we sertifikasiýa taýýarlygyny edýärsiňizmi?
Hawa. Hyzmatyň içine ISO 27001-i ornaşdyrmak, ISMS-i (SUID) gurmak/taýynlamak ýa-da täzeläp çykmak, topary okatmak, içerki auditler, sertifikasiýa auditi wagtynda goldaw we maliýe sektoryndaky müşderileriň talaplaryna laýyk artefaktlar bukjasyny taýýarlamak girýär.
3) Taslamalary dolandyrmak auditi näme we näme üçin ol fintheka gerek?
Bu — üýtgeşmeleri we IT-inisiatiwalary nädip dolandyrýandygyňyzy barlamak: rollar, möhlet/töwekgelçilik gözegçiligi, talaplaryň hili, kabul etmek (acceptance), metrikalar. Finthek üçin bu aýratyn möhüm, sebäbi “erbet reliz” käwagt insident bilen deň bolýar. Audit başagaýlygy azaldyp, üýtgeşmeleri öňünden çak edilýän edýär.
4) Diňe banklar bilen işleýärsiňizmi?
Bu mowzukda esasy üns — bank/finthek we maliýe sektory üçin IT-üpjün edijiler, ýöne biz IT-kompaniýalar we hyzmat merkezleri üçin hem sertifikasiýa boýunça goldaw berýäris, zerur bolanda bolsa beýleki pudaklar üçin hem (şol sanda duýgur maglumatlar we korporatiw sargytçylar bilen işleýän terjime býurolary üçin hem).
5) Hyzmatdaşyň barlagyndan geçmezlik töwekgelçiligi barmy-ýokmy, nädip tiz düşünmeli?
Iň tiz ýol — ekspress-diagnostika: esasy prosesleri (insidentler, üpjün edijiler, dikeltmek, synaglar, subutnamalar) barlaýarys we ileri tutulýan meseleler bilen gowulandyrmak ýol kartasyny berýäris. System Management şeýle diagnostikany geçirip, siziň göwrümiňize we kontragentleriň talaplaryna laýyk iş meýilnamasyny taýýarlap biler.
Zerur bolsa — teksti anyk profiliňize (bank, prosessing, e-wallet, BNPL, töleg şlýuzy) görä uýgunlaşdyryp, hyzmat sahypaňyz üçin CTA hem goşup bererin.