Банковский сектор всё чаще сталкивается с требованиями к цифровой устойчивости — особенно при работе с европейскими партнёрами и платёжной инфраструктурой. Регламент ЕС DORA (Digital Operational Resilience Act) устанавливает единые правила управления ИБ-рисками, инцидентами, поставщиками ИКТ и тестированием устойчивости. Практичный способ подготовиться к аудиту DORA — выстроить систему менеджмента информационной безопасности (ИСМБ) по ISO 27001 и закрыть ключевые доказательства соответствия на её базе. Для бизнеса в Казахстане это ещё и способ повысить доверие международных партнёров и ускорить доступ к рынкам.

DORA и ISO 27001: как они стыкуются

DORA требует управлять ИКТ-рисками по жизненному циклу, документировать процессы, проводить обучение, тесты и аудит, а также оперативно сообщать о серьёзных инцидентах. ISO 27001 даёт каркас: политику, оценки рисков, меры контроля, внутренние аудиты и улучшение. Если выстроить ИСМБ правильно, большая часть артефактов для аудита DORA уже будет у вас «на полке».

План действий для банка

Ниже — последовательность шагов, с которой банки обычно начинают адаптацию под DORA через ISO 27001. Это помогает совместить подготовка к сертификации ISO 27001 и реальную операционную устойчивость.

• Определите область ИСМБ: продукты, процессы, филиалы, дата-центры, SaaS/финтех-интеграции. В DORA много внимания третьим сторонам — включайте критичных провайдеров в периметр контроля.
• Проведите оценку рисков (методика ISO 27005/27001): активы, угрозы, уязвимости, воздействие на клиентов и регуляторную отчётность. Вынесите «красные» риски в отдельный план обработки.
• Сопоставьте меры ISO 27001:2022 с требованиями DORA: управление инцидентами, ведение журналов, резервирование, непрерывность, криптография, управление изменениями, доступами и уязвимостями.
• Постройте процесс Incident & Crisis: классификация, эскалация, тайм-слоты уведомлений (у DORA многоэтапная модель: первичное, промежуточное и финальное уведомления компетентному органу), пост-инцидентный отчёт.
• Управляйте рисками третьих сторон: дью-дилидженс поставщиков ИКТ, требования безопасности в договорах, мониторинг SLA/OLA, право аудита, план выхода (exit plan).
• Непрерывность и техустойчивость: BIA для бизнес-процессов, RTO/RPO, сценарные и стресс-тесты отказов, план DR, регулярные учения.
• Тестирование устойчивости: от сканирования уязвимостей до целевых пен-тестов; для значимых организаций в ЕС — угрозо-ориентированные тесты (TLPT). Даже если вы вне ЕС, выровняйте подход под DORA-уровень зрелости.
• Обучение и осведомлённость: фишинг-симуляции, тренировки роли «on-call», брифы для Совета директоров.
• Внутренний аудит и обзор руководства: независимая проверка процессов, метрики эффективности, корректирующие действия — это фундамент доказательств для аудитора.

Эти шаги дают структуру проекта и прозрачные вехи. Параллельно готовьте «досье» на аудит — чтобы любой контроль был подтверждён документами и практикой.

Пакет доказательств для аудитора DORA

Перед проверкой имеет смысл собрать единый репозиторий артефактов. Это экономит недели переписки и снижает риски «красных флажков».

• Политика ИБ, реестр ролей и ответственности (включая Board-oversight).
• Методика и реестр рисков, план обработки, отчёты о мониторинге.
• Statement of Applicability (SoA) по ISO 27001 и карта соответствия DORA↔ISO.
• Процессы инцидент-менеджмента: регламент, RACI, маршруты эскалации, логи, отчёты post-mortem.
• Непрерывность: BIA, планы BC/DR, результаты учений, журналы восстановления.
• Управление поставщиками: чек-листы дью-дилидженса, оценки рисков, cláusulas безопасности, KPI/SLA отчёты.
• Тестирование: план тестов, результаты VA/PT, устранение уязвимостей, подтверждения повторных проверок.
• Журналы и мониторинг: источники логов, ретенция, отчёты корреляции и оповещений.
• Обучение персонала и подтверждения прохождения.
• Внутренние аудиты, отчёт обзора руководства, CAPA-планы.

Когда это собрано и актуализировано, аудитору проще проверить как «бумагу», так и практические результаты — время на аудит падает, шансы на замечания снижаются.

Что даёт банку сертификация

Сертификация ISO 27001 — это не только корочка. Для банков Казахстана это аргумент для партнёров и платёжных схем, упрощение комплаенса и инструмент сокращения потерь от ИБ-инцидентов. А главное — она структурирует работу в духе DORA: от стратегических решений до повседневных регламентов.

Как мы помогаем

ТОО Baltum Bureau реализует проекты сертификации ISO 27001 под ключ: от экспресс-оценки зрелости и разработки недостающих политик до сопровождения внешнего аудита и постановки регулярного мониторинга. Если вы планируете выход на европейские рынки или уже работаете с контрагентами из ЕС, мы интегрируем требования DORA в вашу ИСМБ, чтобы подготовка к сертификации ISO 27001 одновременно закрывала ожидания партнёров и регуляторов.

Готовы обсудить ваш кейс? Мы поможем построить систему, которая выдержит проверку — и временем, и аудитором.