Gazagystan, Özbegistan, Gruziýa we Gyrgyzystan kompaniýalary barha köpräk Ýewropa banklary, fintek hyzmatdaşlary we marketpleýsler bilen işleýär — diýmek, sanly durnuklylyga (digital resilience) degişli DORA talaplary bilen ýüzbe-ýüz bolýar. Gowy habar: DORA bilen “dostlaşmak” üçin welosipedi täzeden oýlap tapmak hökman däl. Iki amaly standart — ISO 22301 we ISO/IEC 27035 — düşnükli prosesler we rollar arkaly regulýatoryň garaşýanlarynyň köp bölegini ýapýar.
DORA biznesden näme garaşýar (ýönekeý söz bilen)
DORA (Digital Operational Resilience Act) kagyz ýüzündäki howpsuzlyga däl-de, kompaniýanyň IT bökdençliklerine we kiberinsidentlere çydap bilmegine, tiz dikeldilmegine we podratçylardaky töwekgelçilikleri dolandyrmagyna ünsi berýär. Amalda köplenç şular barlanýar:
- IKT töwekgelçiliklerini we üznüksizligi dolandyrýan model barmy;
- insidentleri ýüze çykarmagy, klassifikasiýa etmegi we seljermegi başarýarsyňyzmy;
- synaglary we türgenleşikleri geçirýärsiňizmi;
- möhüm üpjün edijileri (bulut hyzmatlary, autsors, data-merkezler) gözegçilikde saklaýarsyňyzmy.
Biznesi awiakompaniýa diýip göz öňüne getirseň, DORA diňe howpsuzlyk kemerini (syýasatlary) däl, eýsem ekipažyň türgenleşigini, çeck-listleri, “gara gutulary” we uçaryň yzygiderli barlaglaryny hem görmek isleýär.
ISO 22301: DORA talaplary üçin biznesiň üznüksizliginiň skeleti
ISO 22301 biznesiň üznüksizligini dolandyrmak ulgamyny (BCMS) gurýar: töwekgelçilikleriň seljermesinden we BIA-dan başlap, dikeldiş meýilnamalaryna we yzygiderli türgenleşiklere çenli. Bu DORA-nyň durnuklylyk we hyzmatlary dikeltmek boýunça garaşýanlaryny göni ýerine ýetirmäge kömek edýär.
Proseduralary ornaşdyrmazdan öň, takyk nämeleri gorajakdygyňyzy we näçe wagtlyk togtamaň kabul ederliklidigini ýazga geçirmek möhümdir. ISO 22301-de bu aşakdaky esasy artefaktlar arkaly resmileşdirilýär:
- BIA (Business Impact Analysis): haýsy prosesler örän möhüm, haýsy baglylyklar bar (adamlar, IT, üpjün edijiler), togtamagyň netijeleri nämeler;
- RTO/RPO: dikeldiş üçin niýetlenen wagt we maglumat ýitgisine rugsat berilýän çäk;
- üznüksizlik strategiýalary: ätiýaçlandyrmak, alternatiw meýdançalar, el bilen ýerine ýetirilýän proseduralar;
- reaksiýa we dikeldiş meýilnamalary: kim näme edýär, haýsy yzygiderlilikde, müşderiler we hyzmatdaşlar bilen nähili habarlaşmaly;
- türgenleşikler we testler: meýilnama diňe prezentasiýada däl, hakykatda hem işlemegi üçin.
Şondan soň sizde biznesiň üznüksizligini dolandyrmak boýunça okatmak üçin — we hyzmatdaşlaryň/auditorlaryň öňünde kämilligi görkezmek üçin — dolandyrylýan, berk esas peýda bolýar.
Standartyň gurluşy we ulanylyşy barada has giňişleýin şu ýerde.
ISO/IEC 27035: kiberinsidentlere jogap bermekde tertip
Eger ISO 22301 «hemmesi döwülende nädip ýaşamaly?» diýen soraga jogap berýän bolsa, onda ISO/IEC 27035 — «insidenti dogry çözmeli we netijeleri çykarmaly» diýen soraga jogap berýär. DORA üçin bu örän möhüm, sebäbi regulýator tertip-düzgün garaşýar: ýüze çykarmak → bahalandyrmak → çäre görmek → dikeltmek → gowulandyrmak.
Standart maglumat howpsuzlygynyň insidentlerini dolandyrmak ulgamyny gurmaga kömek edýär: chatlardan we “IT-den kimdir birine jaň edip” edilýän bulaşyklygyň ýerine — rollar, ölçegler we metrikalar bolýar. Şeýle ulgama adatça şular girýär:
- wakalary ýüze çykarmak we hasaba almak düzgünleri (SOC/log ýazgylary/tehniki goldaw);
- klassifikasiýa we ileri tutulma bermek (näme zat “agyr” insident hasap edilýär);
- jogap çäreleriniň ssenariýalary (ransomware, maglumat syzmagy, akkauntlaryň ele geçirilmegi, DDoS);
- aragatnaşyk we eskalasiýa (ýolbaşçylyk, ýuristler, PR, hyzmatdaşlar);
- post-incident review: sebäpler, sapaklar, düzediş çäreleri.
Hawa, bu — pul we nerw tygşytlaýan şol maglumat howpsuzlygy boýunça insident dolandyryşydyr: näçe çalt problemi lokallaşdyrsaňyz, şonça-da togtama azalar we abraýa ýetirilen zyýan peseler.
ISO/IEC 27035-i ornaşdyrmagyň amaly tejribesi: has giňişleýin.
ISO 22301 we ISO 27035 bilelikde operasion durnuklylyk boýunça DORA-nyň esasy talaplaryna laýyklygy nähili üpjün edýär
Aýry-aýrylykda standartlar güýçli, bilelikde bolsa “durnuklylyk + jogap çäreleri” baglanyşygyny berýär:
- ISO 22301 möhüm hyzmatlary, rugsat berilýän togtama wagtlaryny we dikeldiş ssenariýalaryny kesgitleýär.
- ISO/IEC 27035 kiberinsidentlere jogap bermek mehanizmini kesgitleýär — ol köplenç üznüksizlik meýilnamalarynyň işläp başlamagyna (trigerine) öwrülýär.
- DORA taýýarlygyň yzygiderli barlanmagyny talap edýär — iki standart hem türgenleşiklere, testlere we gowulandyrma sikline daýanýar.
Ornaşdyrylandan soň kompaniýada biznes, IT we howpsuzlyk arasynda “ýeke umumy dil” peýda bolýar — we bir bölüm insidenti “ownuk zat” diýip hasaplap durka, beýleki bölüm eýýäm müşderileri ýitirýän ýaly ýagdaýlar azalýar.
Sebitdäki kompaniýalar üçin çalt ornaşdyrma meýilnamasy
Dokumentleriň içinde “çümmezlik” üçin, işi amaly taýdan başlaň. Sistem Menedjment topary adatça şeýle ýol kartasyny maslahat berýär:
- DORA we häzirki amallaryňyza görä gysga gap-analiz geçirmek;
- möhüm hyzmatlary we baglylyklary beýan etmek (BIA, RTO/RPO);
- insidentlere jogap bermek prosesini işe girizmek: rollar, klassifikasiýa, pleýbuklar;
- jogap çärelerini dikeldiş meýilnamalary bilen baglamak (kim we haçan BCP/DR işjeňleşdirýär);
- table-top türgenleşigi geçirmek we gowulandyrmalary ýazga almak.
Bu çalt netije berýär: hatda bir sany ýokary hilli türgenleşik hem köplenç “dar bogazlary” birnäçe aýlyk gürrüň-çekişmeden has gowy ýüze çykarýar.
Eger siz ÝB-de maliýe hyzmatdaşlary bilen işleýän bolsaňyz ýa-da müşderileriň we auditorlaryň soraglaryna öňünden taýýarlanmak isleýän bolsaňyz, Sistem Menedjment prosesleri gurmaga, okuw geçirmäge we barlag üçin subutnamaly esas taýýarlamaga kömek eder.