Qozog‘iston, O‘zbekiston, Gruziya yoki Qirg‘izistondagi bank yoki fintech DORA talablariga bevosita tushmasligi mumkin — ammo YI (Yevropa Ittifoqi)dagi mijozlar, to‘lov hamkorlari va investorlar tobora ko‘proq isbotlanadigan raqamli barqarorlikni talab qilmoqda. Muzokaralarda savollar faqat “ISO bormi?” degan darajada emas, balki hodisa yuz bersa uni qanday boshqarishingiz, muhim servislarni qanday tiklashingiz va bulut/outsorsingni qanday nazorat qilishingiz haqida bo‘ladi.
DORA — bu faqat xavfsizlik emas, balki barqarorlik haqida
DORA (ko‘pincha “raqamli operatsion barqarorlik to‘g‘risidagi akt” deb ataladi) moliya sektori uchun mo‘ljallangan: to‘lovlarning uzluksizligi, masofaviy kanallarning mavjudligi, IKT-xatarlarini boshqarish, pudratchilar bilan ishlashning shaffofligi va tekshiruvlarga tayyorgarlik. Ya’ni DORA tashkilotga “tirik organizm” sifatida qaraydi: nosozlik paytida nima bo‘ladi, normal holatga qanchalik tez qaytasiz va buni hujjatlar bilan qanday tasdiqlaysiz.
ISO 27001 qayerda yordam beradi, qayerda esa “ammo”lar boshlanadi
ISO axborot xavfsizligi deganda odatda ISO/IEC 27001 va ISMS (axborot xavfsizligi boshqaruv tizimi)ni qurish nazarda tutiladi. Bank/fintech uchun bu kuchli poydevor: riskka yo‘naltirilgan boshqaruv, kirish nazorati, siyosatlar, monitoring, hodisalarni boshqarish, ichki auditlar. Boshqacha aytganda, ISO bo‘yicha axborot xavfsizligi menejmenti tizimli ishlashga o‘rgatadi.
Biroq DORA ko‘pincha bazaviy tizim ustidan “operatsion aniqlik”ni talab qiladi: barqarorlik (rezistentlik) bo‘yicha muntazam testlar, IKT yetkazib beruvchilari (jumladan bulut xizmatlari) bilan qat’iy ishlash, tiklanishning o‘lchanadigan ko‘rsatkichlari, hodisalar haqida aniq ssenariylar bo‘yicha xabarnoma berishga tayyorgarlik.
Moliya sektorida ISO va DORA kutilmalari o‘rtasidagi odatiy tafovutlar
Quyida — banklar va fintechlar, hatto sertifikat allaqachon bo‘lsa ham, ko‘pincha aynan qayerda “qoqilib” qolishi keltirilgan. Avvaliga bu mayda detaldek ko‘rinadi, ammo hamkorlar va auditorlar aynan shu “detallar”ni tekshiradi.
- Hodisalar va xabarnomalar: rasmiy tasnif (klassifikatsiya), eskalatsiya triggerlari, yagona taymlayn va regulyatorlar/hamkorlar uchun hisobot shablonlari.
- Barqarorlikni test qilish: bir martalik DR-testi emas, balki mashqlar dasturi (tabletop, texnik testlar, provayder nosozligi ssenariylarini tekshirish).
- Uchinchi tomonlarni boshqarish: yetkazib beruvchilar reyestri, kritikligini baholash, SLA/OLA talablari, audit huquqlari, subpudratchilarni nazorat qilish, chiqish rejasi (exit plan).
- AX (IB) va uzluksizlikni bog‘lash: RTO/RPO, servislarni ustuvorlashtirish (mobil bank, protsessing, KYC/AML oqimlari) va rejalar haqiqatan ishlashini tasdiqlovchi dalillar.
- Dalillar bazasi: mashqlar protokollari, tuzatish choralarining natijalari, monitoring yozuvlari, qo‘mita qarorlari — “gap bilan” emas, “amalda ko‘rsatish” uchun.
Bularni yagona manzaraga jamlasak, shunisi ayon bo‘ladi: ISO 27001 ni joriy etish — a’lo darajadagi karkas, ammo DORA uchun uni odatda barqarorlik, o‘lchanadigan ko‘rsatkichlar va ta’minot zanjirini boshqarish bilan “to‘ldirib qurish” kerak bo‘ladi.
Bank/fintech qanday qilib ortiqcha byurokratiyasiz tayyorlanishi mumkin
Ishlaydigan yondashuv — hammasini boshidan qayta yozish emas, balki mapping qilish: “DORA talablari ISO nazoratlari bilan qaysi joylarda allaqachon yopilgan, qayerda esa takomillashtirish kerak”. Ko‘pincha 4 qadamning o‘zi yetarli bo‘ladi:
- DORA vs ISO 27001 gap-analizi (jarayonlar + artefaktlar);
- IKT yetkazib beruvchilarini boshqarishni kuchaytirish (shartnomalar, nazorat, exit plan);
- barqarorlikni test qilish dasturi va muntazam mashg‘ulotlar;
- dalillarni tayyorlash: jurnallar, hisobotlar, KPI/KRI, qarorlar, yaxshilash rejalari.
MDH hududida System Management jamoasi odatda shunday tarzda ulanadiki, natija hamkorlar uchun “sotiladigan” bo‘ladi: tushunarli hujjatlar to‘plami, o‘qitilgan jarayon egalari va due diligence savollariga javob berishga tayyorgarlik.
FAQ: banklar va fintex (moliyaviy texnologiyalar) kompaniyalariga eng ko‘p kerak bo‘ladigan xizmatlar
1) Agar bizda allaqachon ISO 27001 bo‘lsa, siz qanday yordam bera olasiz?
Biz DORA bo‘yicha gap-analiz o‘tkazamiz va tizimni amaliyot bilan tasdiqlanadigan darajaga “sozlab beramiz”: barqarorlik (rezilyentlik) testlari, IKT yetkazib beruvchilarini boshqarish, insidentlar bo‘yicha hisobot berish (incident reporting), hamkorlar va auditorlar uchun isbotlovchi dalillar bazasi.
2) Siz “kalit topshirish” (pod klyuch) joriy etish va sertifikatlashga tayyorlashni qilasizmi?
Ha. Xizmat tarkibiga ISO 27001 ni joriy etish, ISMS ni qurish/yangilash, jamoani o‘qitish, ichki auditlar, sertifikatlash auditi jarayonida hamrohlik qilish va moliya sektori mijozlari talablari uchun artefaktlar (dalillar) paketini tayyorlash kiradi.
3) Loyihalarni boshqarish auditi nima va u fintexga nima uchun kerak?
Bu o‘zgarishlar va IT tashabbuslarini qanday boshqarayotganingizni tekshirish: rollar, muddat/xatarlar nazorati, talablar sifati, qabul qilish (acceptance), metrikalar. Fintex uchun bu ayniqsa muhim, chunki “yomon reliz” ba’zan insidentga teng bo‘ladi. Audit tartibsizlikni kamaytirib, o‘zgarishlarni bashorat qilinadigan qiladi.
4) Siz faqat banklar bilan ishlaysizmi?
Bu mavzuda asosiy fokus — bank/fintex va moliya sektori uchun IT yetkazib beruvchilar, ammo biz IT-kompaniyalar va servis markazlarining sertifikatlash jarayonini ham kuzatib boramiz, zarurat bo‘lsa — boshqa sohalar uchun ham (jumladan tarjima byurolari, agar ular sezgir ma’lumotlar va korporativ buyurtmachilar bilan ishlasa).
5) Hamkor tekshiruvdan o‘ta olmaslik xatari bor-yo‘qligini tezda qanday bilsa bo‘ladi?
Eng tez yo‘l — ekspress-diagnostika: asosiy jarayonlarni (insidentlar, yetkazib beruvchilar, tiklash, testlar, dalillar) tekshiramiz va ustuvorliklar bilan yaxshilash “yo‘l xaritasi”ni beramiz. System Management shunday diagnostikani o‘tkazib, sizning ko‘lamingiz va kontragentlar talablari bo‘yicha ish rejasini tayyorlab berishi mumkin.
Agar kerak bo‘lsa — matnni aniq profilga (bank, processing, e-wallet, BNPL, to‘lov shlyuzi) moslab beraman va xizmat sahifangiz uchun CTA qo‘shib beraman.