Qozog‘iston, O‘zbekiston, Gruziya va Qirg‘izistondagi kompaniyalar tobora ko‘proq Yevropa banklari, fintex hamkorlari va marketpleyslar bilan ishlamoqda — demak, raqamli barqarorlik bo‘yicha DORA talablariga ham duch kelmoqda. Yaxshi xabar: DORA bilan ‘til topishish’ uchun velosipedni qayta ixtiro qilish shart emas. Ikkita amaliy standart — ISO 22301 va ISO/IEC 27035 — tushunarli jarayonlar va rollar orqali regulyator kutganlarining katta qismini qamrab oladi.
DORA biznesdan oddiy qilib aytganda nimani kutadi
DORA (Digital Operational Resilience Act) qog‘ozdagi xavfsizlikka emas, balki kompaniyaning IT nosozliklari va kiberhodisalarga bardosh berishiga, tez tiklanishiga hamda pudratchilar bilan bog‘liq xatarlarni boshqarishiga e’tibor qaratadi. Amalda odatda quyidagilar tekshiriladi:
- IKT xatarlari va uzluksizlik bo‘yicha boshqariladigan model bormi;
- hodisalarni aniqlash, tasniflash va tahlil qilishni bilasizmi;
- testlar va mashg‘ulotlar o‘tkazasizmi;
- muhim yetkazib beruvchilarni (bulut, autsors, data-markazlar) nazorat qilasizmi.
Agar biznesni aviakompaniya deb tasavvur qilsak, DORA faqat xavfsizlik kamarini (siyosatlar) emas, balki ekipaj mashg‘ulotlari, chek-listlar, “qora quti”lar va samolyotni muntazam tekshiruvlardan o‘tkazishni ham ko‘rishni xohlaydi.
ISO 22301: DORA talablariga mos biznes uzluksizligining tayanch tizimi
ISO 22301 biznes uzluksizligini boshqarish tizimini (BCMS) quradi: xatarlar tahlili va BIA’dan tortib tiklash rejalari hamda muntazam mashg‘ulotlargacha. Bu xizmatlarning barqarorligi va tiklanishi bo‘yicha DORA kutganlarini bevosita qoplashga yordam beradi.
Jarayonlarni joriy etishdan oldin nimalarni himoya qilayotganingiz va qancha to‘xtab turish (downtime) maqbul ekanini aniq belgilab olish muhim. ISO 22301’da bu quyidagi asosiy artefaktlar orqali rasmiylashtiriladi:
- BIA (Business Impact Analysis): qaysi jarayonlar kritik, qaysi bog‘liqliklar (odamlar, IT, yetkazib beruvchilar) borligi, to‘xtab qolish oqibatlari;
- RTO/RPO: tiklash uchun maqsadli vaqt va ma’lumot yo‘qotilishining ruxsat etilgan darajasi;
- uzluksizlik strategiyalari: zaxiralash, muqobil maydonchalar, qo‘lda bajariladigan protseduralar;
- javob qaytarish va tiklash rejalari: kim nima qiladi, qaysi ketma-ketlikda, mijozlar va hamkorlar bilan qanday kommunikatsiya qilish;
- mashg‘ulotlar va testlar: reja faqat prezentatsiyada emas, amalda ham ishlashi uchun.
Shundan so‘ng sizda biznes uzluksizligini boshqarish bo‘yicha treninglar uchun — va hamkorlar/auditorlar oldida yetuklikni ko‘rsatish uchun — boshqariladigan asos paydo bo‘ladi.
Standartning tuzilmasi va qo‘llanilishi haqida batafsil bu yerda.
ISO/IEC 27035: kiberinsidentlarga javob berishda tartib
Agar ISO 22301 “hammasi buzilganda qanday yashash” savoliga javob bersa, ISO/IEC 27035 — “insidentni to‘g‘ri boshqarish va xulosa chiqarish” savoliga javob beradi. DORA uchun bu juda muhim, chunki regulyator intizomni kutadi: aniqlash → baholash → javob berish → tiklash → yaxshilash.
Standart axborot xavfsizligi insidentlarini boshqarish tizimini qurishga yordam beradi: chatlar va “IT’dan kimdirdan so‘rab qo‘yish” qo‘ng‘iroqlari tartibsizligi o‘rniga rollar, mezonlar va metrikalar bo‘ladi. Bunday tizim odatda quyidagilarni o‘z ichiga oladi:
- hodisalarni aniqlash va ro‘yxatga olish qoidalari (SOC/loglash/qo‘llab-quvvatlash xizmati);
- tasniflash va ustuvorlashtirish (nimani jiddiy insident deb hisoblash);
- javob berish ssenariylari (ransomware, ma’lumot sizishi, akkauntlar komprometatsiyasi, DDoS);
- kommunikatsiya va eskalatsiya (rahbariyat, yuristlar, PR, hamkorlar);
- post-incident review: sabablar, o‘rganilgan saboqlar, tuzatish choralari.
Ha, bu aynan o‘sha AX insidentlarini boshqarish bo‘lib, pul va asabni tejaydi: muammoni qanchalik tez lokallashtirsangiz, shuncha kam to‘xtab qolish va reputatsion zarar bo‘ladi.
ISO/IEC 27035’ni joriy etish amaliyoti: batafsilroq.
ISO 22301 va ISO 27035 birgalikda operatsion barqarorlik bo‘yicha DORAning asosiy talablariga rioya etishni qanday ta’minlaydi
Alohida-alohida bu standartlar kuchli, birga esa “barqarorlik + javob berish” bog‘lamini beradi:
- ISO 22301 kritik servislarni, ruxsat etilgan to‘xtab turish vaqtini va tiklash ssenariylarini belgilaydi.
- ISO/IEC 27035 kiberinsidentlarga javob berish mexanizmini belgilaydi — ko‘pincha aynan shu uzluksizlik rejalarini ishga tushiradigan trigger bo‘ladi.
- DORA tayyorgarlikni muntazam tekshirishni talab qiladi — ikkala standart ham mashg‘ulotlar, testlar va doimiy takomillashtirish sikliga tayanadi.
Joriy etilgandan so‘ng kompaniyada biznes, IT va xavfsizlik o‘rtasida “yagona til” paydo bo‘ladi — va bir bo‘lim insidentni “mayda gap” deb hisoblayotgan paytda, boshqasi allaqachon mijozlarni yo‘qotayotgan holatlar kamayadi.
Mintaqa kompaniyalari uchun tezkor joriy etish rejasi
Hujjatlarda “cho‘kib ketmaslik” uchun pragmatik yondashuvdan boshlang. System Management jamoasi odatda quyidagi yo‘l xaritasini tavsiya qiladi:
- DORA va amaldagi amaliyotlar bo‘yicha qisqa gap-tahlil (gap analysis) o‘tkazish;
- kritik servislar va bog‘liqliklarni (BIA, RTO/RPO) tavsiflash;
- insidentlarga javob berish jarayonini ishga tushirish: rollar, tasnif, pleýbuklar;
- javob berishni tiklash rejalariga bog‘lash (kim va qachon BCP/DR’ni ishga tushiradi);
- table-top mashg‘ulot o‘tkazib, yaxshilanishlarni qayd etish.
Bu tez natija beradi: hatto bitta sifatli mashg‘ulot ham ko‘pincha oylar davom etadigan muhokamalardan ko‘ra “tor joylar”ni yaxshiroq ochib beradi.
Agar siz YEIdagi moliyaviy hamkorlar bilan ishlasangiz yoki mijozlar va auditorlar so‘rovlariga oldindan tayyorlanmoqchi bo‘lsangiz, System Management jarayonlarni yo‘lga qo‘yish, trening o‘tkazish va tekshiruv uchun daliliy bazani tayyorlashda yordam beradi.