DORA, інциденти та ризики: чому бізнесу це важливо вже зараз
DORA (Digital Operational Resilience Act) часто сприймають як “щось для банків в ЄС”, але сенс значно ширший: компанія має вміти керувати ІКТ-ризиками, швидко відновлюватися після збоїв і доводити партнерам, що контроль працює. Для українського бізнесу це актуально, якщо ви працюєте з фінансовими установами, обробляєте персональні дані, надаєте ІТ/аутсорс послуги, маєте європейських клієнтів або прагнете пройти vendor due diligence без болю.
Якщо дуже просто: DORA хоче бачити не формальний набір документів, а операційну витривалість. Як техогляд автомобіля: можна не любити процедуру, але вона рятує, коли стається неприємність.
Як ISO 27005 та ISO 27035 допомагають виконувати логіку DORA
Замість того, щоб вигадувати власну методологію, багато компаній будують систему на міжнародних стандартах:
- ISO/IEC 27005 — про ризики: як оцінювати, пріоритезувати, призначати власників і контролювати виконання.
- ISO/IEC 27035 — про інциденти: як виявляти, реагувати, документувати, комунікувати та робити висновки.
У парі ці стандарти закривають “серце” DORA: управління ризиками + управління інцидентами + безперервне покращення.
ISO 27005 на практиці: як робиться оцінка ризиків інформаційної безпеки
Щоб оцінка ризиків інформаційної безпеки не була епізодичною формальністю для перевірок, її процес має бути системним, а результати — зрозумілими для прийняття бізнес-рішень. Практичний шлях виглядає так:
- Визначити контекст
Які процеси критичні (продажі, виробництво, підтримка, бухгалтерія), які системи їх підтримують, який апетит до ризику прийнятний. - Описати активи
Дані (бази клієнтів, фінанси, комерційна таємниця), інфраструктура (сервери, хмара), люди й постачальники. - Оцінити загрози та вразливості
Фішинг, ransomware, помилки конфігурацій, слабкі доступи, залежність від підрядників, відсутність резервного копіювання тощо. - Розрахувати ризик і пріоритезувати
Ймовірність × вплив (фінанси, репутація, простій, юридичні наслідки). Важливо: краще мати 15–30 якісно описаних ризиків, ніж 200 “для галочки”. - План обробки ризиків
Уникаємо / зменшуємо / передаємо / приймаємо — з дедлайнами, відповідальними, метриками ефективності.
Саме так з’являється керований менеджмент ризику інформаційної безпеки, який можна показати керівництву, партнеру або аудитору — і він буде логічним, а не “зі стелі”.
Список ризиків кібербезпеки для організації ISO 27005: що зазвичай потрапляє в топ
Щоб сформувати список ризиків кібербезпеки для організації ISO 27005, зручно стартувати з типових сценаріїв і потім адаптувати під ваші процеси та технології. У більшості компаній (незалежно від галузі) найчастіше повторюються одні й ті ж “больові точки”:
- Фішинг і компрометація пошти (BEC) → підміна реквізитів, шахрайські платежі, витік листування.
- Ransomware та блокування доступу до даних → простій критичних сервісів, втрати, відновлення з резервних копій.
- Витік даних через хмарні налаштування або “зайві” права доступу → штрафи, претензії клієнтів, репутаційні втрати.
- Ризики постачальників (SaaS, аутсорс, підрядники) → “вас зламали через них”, збої доступності, слабкі SLA.
- Непатчені вразливості → експлуатація відомих CVE, компрометація сервера/робочої станції.
- Помилки персоналу та інсайдерські інциденти → випадкова публікація даних, копіювання на особисті носії, “людський фактор”.
- DDoS/відмова сервісу → недоступність сайту/кабінету/платежів, зрив обслуговування клієнтів.
Після складання списку важливо “приземлити” кожен пункт: власник ризику, поточні контролі, прогалини, конкретні дії й KPI. Тоді ризик-реєстр стає інструментом управління, а не таблицею, яка припадає пилом.
ISO 27035: як побудувати кероване реагування на інциденти
ISO 27035 перетворює паніку “нас атакують!” на чіткий процес. Мінімальний набір, який реально працює в бізнесі:
1) Класифікація інцидентів і правила ескалації
Що вважаємо інцидентом? Які рівні критичності? Коли підключати керівництво, юристів, PR або постачальника?
2) Ролі та відповідальність
Навіть якщо у вас невелика команда, має бути зрозуміло: хто приймає рішення, хто “гасить пожежу”, хто комунікує з клієнтами, хто фіксує докази.
3) Журналювання, збереження доказів і контроль часу
Без логів і дисципліни фіксації фактів інцидент швидко перетворюється на “історію зі слів”. ISO 27035 допомагає оформити це так, щоб потім можна було розібратися — і технічно, і юридично.
4) Плейбуки під найімовірніші сценарії
Почніть із 3–5: фішинг, ransomware, витік даних, компрометація облікового запису, недоступність сервісу. Це як аптечка: головне, щоб була під рукою та зрозуміла.
5) Пост-аналіз і покращення
Після інциденту важливо не тільки “відновити”, а й зробити висновки: що зламалося в процесах, які контрзаходи потрібні, як оновити ризики.
Детальніше про структуру процесу реагування — на сторінці ISO 27035.
Як поєднати ISO 27005 і ISO 27035, щоб DORA не залишилася на папері
Найсильніший ефект дає цикл:
інциденти → уроки → оновлення ризиків → нові контролі → тренування → менше інцидентів.
Ось як це виглядає в реальному житті:
- Після фішингової атаки ви не просто змінили пароль, а підняли ризик у реєстрі, додали MFA, оновили навчання персоналу та метрики.
- Після збою у постачальника ви переглянули SLA, резервні сценарії, процедуру перемикання та критерії прийнятності простою.
- Після витоку даних ви відпрацювали комунікації, доступи, DLP/логування і зробили це частиною регулярного контролю.
Так DORA стає системою звичок, а не разовим проєктом.
З чого почати: короткий план на 30–60 днів
Щоб не зависнути в теорії, можна рухатися маленькими кроками:
- описати 5–10 критичних процесів і систем;
- провести стартову оцінку ризиків і скласти ризик-реєстр;
- сформувати список ризиків кібербезпеки для організації ISO 27005 з пріоритетами;
- визначити команду реагування та мінімальні плейбуки за ISO 27035;
- провести tabletop-вправу (1–2 години) і зафіксувати покращення.
Після цього у вас вже є скелет керування — і його можна послідовно нарощувати.
Українська компанія ТОВ “Систем Менеджмент” може допомогти впровадити ці підходи так, щоб вони працювали під реалії українського бізнесу: з практичними шаблонами, навчанням і фокусом на результат.
