SOC 2: անվտանգության վերահսկողական չափանիշներ

1) SOC 2 երկու բառով։

SOC 2-ը անկախ գնահատում է, թե ինչպես է կազմակերպությունը նախագծում (Design) և կատարում (Operating) համաձայն Trust You Criteria (TSC) AICPA-ի։

IGaming-ում դա բարձրացնում է կարգավորողների/բանկերի/PSA/գործընկերների վստահությունը և պարզեցնում TPRM-ը։

Պարամետրերի տեսակները

Type I-ը մի ակնթարթ վիճակ է (կոնկրետ ամսաթվով), արդյոք ճիշտ նախագծված են վերահսկել։

Type II-ը ժամանակի ընթացքում (սովորաբար 6-12 մեզ), արդյո՞ ք գործնականում կառավարվում են կայուն (ընտրական)։

2) Trust You Criteria (TSC) և ինչպես կարդալ դրանք։

Հիմնական տիրույթը Մոսկվա է (Common Criteria)։ Մնացած օբյեկտիվորեն ավելացվում են տարածաշրջանում

Քննադատություն	Նպատակը	Ագրեսորի հարցերի օրինակներ
Security (CC)	Պաշտպանություն չարտոնված հասանելիությունից	MFA, RBAC/ABAC, SoD, ամսագրեր, խոցելիության կառավարում
Availability	Նպատակների հասանելիությունը	DR/BCP, RTO/RPO, SLO, պատահականություն-կառավարման
Confidentiality	Գաղտնի տվյալների պաշտպանությունը	Դասակարգում, կոդավորում, դիմակավորում, վերահսկում
Processing Integrity	Ամբողջական/ճշգրտություն/վերամշակման ժամանակին	Տվյալների որակի վերահսկում, իջեցում, թեստեր
Privacy	Մասնագիտության ցիկլը PII-ի համար	Օրինական հիմքերը, RoPA, DSAR, retenshn, CBS

3) Կառավարման և պարտադիր տարրերի մոդելը (Մոսկվա - CC)

Governational & Risk: IB քաղաքականությունը, ռիսկի շարժիչը, նպատակները, դերերը/RACI, ուսուցումը։

INTRL: RBAC/ABAC, SoD, JIT/PAM, գաղտնաբառեր/MFA, SCBS/IGA, offbording թիվ 15

Change & CORLC: DevSecOps, SMS/DMS/DS, IaC սկանավորում, CAB, Deplows ամսագրեր, արձագանքներ։

Logging & Monitoring: կենտրոնացված լոգներ (WORM + ստորագրություն), SIEM/SOAR, KRI ալտերտեր։

Vuln & Patch: Հայտնաբերման/դասակարգման գործընթացը, SLA-ը High/Critical-ում, մրցույթի ապացույցը։

Incident Response: playbook, RACI, war-room, postmortmes և CAPA։

Vendor/TPRM: due diligence, DPA/SLA, մրցույթի իրավունք, ռուսական գողեր։

4) Ընդլայնված չափանիշները (A, C, PI, P)

Availability (A)

SLO/SLA և dashbords; DR/BCP (RTO/RPO), տարեկան թեստեր։ հզորություն/քրոնիկական շրջան; կարգավորվում է հասանելիության գործընթացը։

Confidentiality (C)

Տվյալների դասակարգում; կոդավորումը at rest/in transit (KFC/HSM); PII թոկենիզացիա; օրինագծերի վերահսկումը (ստորագրություն, ամսագիր); retenshn.

Processing Integrity (PI)

Տվյալների որակի վերահսկումը 'սխեմաներ/վալիդացիա, deduplication, reconciliation; առաջադրանքների գործարկման վերահսկողությունը; կառավարել փոփոխությունները փայտանյութերում։

Privacy (P)

Գաղտնիության քաղաքականությունը; RoPA/իրավական հիմքեր; SMR/համաձայնության; DPIA/DSAR; masking/retenshn; Trekers/MSK-ի աուդիտ։

5) Mapping SOC 2-ը ձեր քաղաքականությունները/վերահսկում/

ISO 27001/ISAE ծածկում է CC հիմքը (ռիսկերի, քաղաքականության, լոգայի, խոցելիության կառավարում)։

MS27701/PIMS-ը փակում է բազմաթիվ Privacy-չափանիշներ։

Ներքին հատվածները ՝ RBAC/Least Privilege, Գոլորշի քաղաքականությունը և MFA, Լոգարանների քաղաքականությունը, Դեպենտները, TPRM, DR/BCP-ը ուղղակիորեն մարվում են TSC-ում։

💡 Առաջարկվում է կազմել մատրիցի մատրիցը. <<TSC կետը ռուսական քաղաքականությունն/ընթացակարգը կարգավորում է ստանդարտ մոդերնիզացիայի վերահսկումը>։

6) Վերահսկման կատալոգը և evidences-ի օրինակները

Յուրաքանչյուր վերահսկողության համար 'ID, նպատակը, սեփականատերը, հաճախությունը, մեթոդը (մեքենա/ձեռքով), ապացույցների աղբյուրները։

Օրինակներ (հատված)

«SEC-MS-01» - MFA admin-հասանելի www.IDP զեկույցը, spress-ը, լոգարանների ընտրությունը։

«SEC-IGA-02» - Medboarding No. 15 րոպե www.SCS-logs, tikets, արգելափակման ամսագիր։

«SEC-LOG-2019» - Անփոփոխ ամսագրեր (WORM) ռուսական դելիգներ, ծանր շղթաներ, ընտրության արտահանումը։

«AVAIL-DR-01» - Տարեկան DR թեստը փորձարկման արձանագրություն, իրական RTO/RPO։

«CONF-ENC-03» - KFC/HSM կառավարումը ռուսական միգրացիայի քաղաքականության բեկորների, KFC աուդիտի։

«PI-IV-02» - Reconciliation հաշվարկների վերաբերյալ, որոնք համապատասխանում են հաշիվներին, միջադեպերին, CAPA-ին։

«PRIV-DSAR-01» - SLA-ը DSAR-ի համաձայն բացատրում է հարցումների, թայմստամպի, պատասխանների ձևանմուշները։

7) Ընթացակարգերը (SOP) SOC 2-ի պահպանման համար

SOP-1 Պատահարները 'մանկությունը www.triage www.indain.ru RCA www.CAPA-ն հայտարարեց։

SOP-2 Փոփոխությունների կառավարումը 'PR 24CI/CD սկաներներ www.CAB wwww.dlay wwwww.ru/fix։

SOP-3 Խոցելիություն: intake-ը բացատրում է SLA-ի կոդավորման դասակարգումը ֆիքսված ֆիքսի կրկնօրինակումը։

SOP-4 Հասանելի ՝ JML/IGA, եռամսյակային հավաստագրում, SoD բլոկներ, JIT/PAM։

SOP-5 DR/BCP 'տարեկան թեստեր, մասնակի ուսուցումներ, RTO/RPO փաստեր։

SOP-6 Ալմաթի/գաղտնիությունը 'սպիտակ ցուցակներ, ստորագրություն/ամսագիր, rentenshn/2019։

8) Պատրաստվելու համար 'Type I Type II

1. Hep-վերլուծություն TSC 'ծածկույթի մատրիցա, անհայտ վերահսկողների ցուցակ։

2. Քաղաքական և ընթացակարգերը 'թարմացնել, նշանակել սեփականատերերին։

3. Evidence: Logs, IDP/SIEM հաշվետվությունները, հյուսետները, ընտրության արտահանումը (ստորագրություններով)։

4. Altal Readiness Audit-ը 'ֆոսֆորի հարցը, ընտրության ամրագրումը։

5. Type I (X) 'ցույց տալ վերահսկման դիզայնը և գործարկման փաստը։

6. Դիտարկման ժամանակահատվածը (6-12 մեզ) 'արտեֆակտների շարունակական հավաքումը, ռուսական գտածոները։

7. Type II 'տրամադրել նմուշներ ժամանակահատվածի ընթացքում, վիրահատական արդյունավետության մասին զեկույցը։

9) Metriki (KPI/KRI) SOC 2 համար

KPI:

MFA adoption (rensions/քննադատական դերեր) = 100 տոկոսը
Medboarding TTR 3515 րոպե
Patch SLA High/Critical փակված 3,95 տոկոսը ժամանակում
DR թեստեր 'գրաֆիկայի պլանի կատարումը = 100%, իրական RTO/RPO նորմալ
Coverage լոգոն (WORM) 3895 տոկոսը կրիտիկական համակարգեր

KRI:

PII հասանելիությունը առանց «purpose» = 0
SoD = 0 խախտումներ
Միջադեպերը տեղեկացված են ավելի ուշ, քան տրիբունաները = 0
High/Critical> 5% - էսկալացիա

10) RACI (uprunium)

Ակտիվություն	Board/CEO	CISO/ISMS	Security	Privacy/DPO	SRE/IT	Data/BI	Product/Eng	Legal/Compliance	Internal Audit
SOC 2 տարածքը	A/R	R	C	C	C	C	C	C	I
Վերահսկողների կատալոգ	I	A/R	R	C	R	R	R	C	I
Evidence-պահեստ	I	A/R	R	R	R	R	R	C	I
Readiness/Windowr. աուդիտ	I	R	R	R	R	R	R	C	A/R
Արտաքին աուդիտ	I	R	R	R	R	R	R	C	I
SARA/ռեմեդիա	I	A/R	R	R	R	R	R	C	C

11) Չեկ թերթերը

11. 1 Readiness (Type I)

Scope (TSC և համակարգերը) գրված է
Քաղաքականությունները/ընթացակարգերը արդիական են և հաստատված են
Նշանակված են վերահսկման և չափման տերերը
Evidence-2019 նախատիպը պատրաստ է (Loges, IDP/SIEM, ticets)
Պատահականության տաբլետոպը և DR-մինի-թեստը կատարվեցին
Ռիսկերը և SoD-մատրիցը ապացուցված են

11. Դիտարկման 2 ժամանակահատվածը (I-II-ի միջև)

Ամեն շաբաթ ընտրում/օրինագծերի հավաքում
KPI/KRI ամսական զեկույցը
Խոցելիությունը SLA-ում
Եռամսյակային սերտիֆիկացում իրավունքների
DR/BCP թեստը համաձայն պլանի

11. 3 Type II-ից առաջ

Evidence ամբողջ հավաքածուն ժամանակահատվածի համար (յուրաքանչյուր վերահսկման համար)
Novich/խոցելիություն և CAPA
Dive Review զեկույցը (ժամանակահատվածի արդյունքները)
Mapping TSC-ի նորարարությունը վերահսկվում էր

12) Հաճախակի սխալներ և ինչպես խուսափել դրանցից

«Քաղաքականություններ առանց պրակտիկայի», ցույց տվեք լոգները, հյուսետները, DR/2019 արձանագրությունները, ոչ միայն փաստաթղթերը։

Թույլ տրամաբանությունը 'առանց WORM/ստորագրությունների և իրադարձությունների հստակ սեմանտիկայի, ավելի բարդ է։

Ոչ ճիշտ սերտիֆիկացում '«կախված» հասանելիության ռիսկը քննադատական մինուս է։

Թերի Scoultwendors: SOC 2-ը տեսնում է շղթա 'ավելացրեք TPRM, DPA/SLA, իրավունքի պաշտպանությունը։

Առանց ռուտինի, ներդրեք SSM/dashbords և ամսական հաշվետվություններ։

13) Ճանապարհային քարտեզը (12-16 շաբաթ Type I, ևս 6-12 մեզ, Type II)

Շաբաթներ 1-2 'TSC, Scope, սեփականատեր, աշխատանքի պլան։

Շաբաթներ 3-4: նորարարել քաղաքականությունները/ընթացակարգերը, հավաքել վերահսկման կատալոգը և մատրիցը։

Շաբաթ 5-6: կարգավորել (WORM/ստորագրություն), SIEM/SOAR, խոցելիություն/SLA, IDP/MFA, IGA/JML։

Շաբաթ 7-8: DR/BCP նվազագույն թեստերը, TPRM նորարարությունները (DPA/SLA), փորձարկումը։

Շաբաթներ 9-10: evidence-պահեստ, KPI/KRI հաշվետվությունները, ներքին readiness-աուդիտը։

Շաբաթներ 11-12: Վերջնական ուղղությունները, ֆոսֆորի զրահը, Type I

Այնուհետև ՝ արտեֆակտների շաբաթական հավաքումը, Type II-ի զանգվածը ավարտելուց հետո։

TL; DR

SOC 2 = պարզ Scope TSC-ն նկարագրում է վերահսկման կատալոգը Design & Operating-ի սեփականատերերի և մետրերի հետ DIST/IGA/DR/TPRM TRRadiness Type I-ի դիտարկման ժամանակահատվածը։ լռելյայն ապացուցելը ", և աուդիտը կանցնի առանց անակնկալների։