GH GambleHub

Ռիսկերի գնահատում

1) Նպատակներն ու սկզբունքները

Նպատակը 'վաղ հայտնաբերումն ու գերակայությունը, որոնք ազդում են SLO-ի վրա, եկամուտները, կարգավորող համապատասխանությունը և հեղինակությունը։

Սկզբունքները 'համակարգայնությունը, չափումը, կրկնությունը, բիզնեսի արժեքը, SLO-first-ը։

Արդյունքն այն է, որ ռիսկերի թափանցիկ պորտֆելը հասկանալի սեփականատերերի, միջոցառումների և շահառուների հետ։

2) Տերմիններ

Ռիսկը 'անհանգիստ իրադարձության հավանականությունը։

Ռիսկի ախորժակը 'հիբրիդային ռիսկի մակարդակը ընդունելի է կազմակերպության համար։

Խոցելիություն/ազդեցություն/վերահսկողություն 'թույլ տեղ, ձգան և գոյություն ունեցող միջոցներ։

KRI (Key Risk Indicators) 'առջևի բաղադրիչները (օրինակ ՝ p99-լատենտության աճը, consumer-lag, վճարումների հակադարձումը)։

3) Ռիսկերի դասակարգումը iGaming-ի համար

Վիրահատական 'ծանրաբեռնվածություն, ածխաջրածինների ձախողումներ, հերթեր, BD/քեշի քայքայումը, COD/AZ/տարածաշրջաններում։

Տեխնոլոգիական/անվտանգությունը 'DDoS, խոցելիություն, արտահոսք, միգրացիայի սխալներ, կախվածություն հիմնական գրադարաններից։

Ստացիոնար/ֆինանսական 'հեղինակային իրավունքի անկում, chargeback աճը, պրովայդերի անհասանելիությունը, FX-անկարգությունները, ֆրոդը։

Կախվածություն/էկոհամակարգ 'ձախողումներ խաղերի պրովայդերների, CDN/WAF, KYC/AML, SMS/e-mail դարպասի մոտ։

Կոմպլանսը/կարգավորողը 'միգրանցների պահանջների խախտումը, KYC/AML, պատասխանատու խաղը, տվյալների պահպանումը։

Ապրանքը/մարքեթինգը 'անկանխատեսելի պիկի մջե (մրցույթներ, խաղեր, պրոմո), բոնուսների հատվածներ։

Հեղինակություն 'բացասական լրատվամիջոցներում/սոցիալական ցանցերում' պահանջների խախտման կամ վերացման պատճառով։

4) Ռիսկերի գնահատման գործընթացը (շրջանակը)

1. Կոնտեքստի ստեղծումը 'նպատակներ, SLO, կարգավորող պահանջներ, ճարտարապետական սահմաններ, արժեքային շղթա։

2. Նույնականացում 'թեկնածուների իրադարձությունների հավաքումը' հետադարձ հայացքներ, կախվածության աուդիտ, ուղեղի հարձակումներ, վերահսկողական թերթեր։

3. Վերլուծություն 'որակավոր (սցենարներ, Bow-Tie) և քանակական (հաճախականություններ/բաշխումներ)։

4. Գնահատումը 'համեմատություն ռիսկի ախորժակի, դասակարգման, առաջնահերթությունների հաստատման հետ։

5. Մշակումը 'կանխումը, նվազումը, փոխանցումը (պայմանագրեր), ընդունումը (գիտակցված)։

6. Պիտերբուրգը և պաշտպանությունը ՝ KRI, վերահսկման արդյունավետության ստուգում, կոդավորման նորարարություն, պատրաստման թեստեր։

5) Որակավոր տեխնիկա

Հավանականության/ազդեցության մատրիցա '1-5 մասշտաբներ (Very Low... Very High)։ Ազդեցությունը դիտարկվում է առանձին առանցքներով 'SLA/եկամուտ/կարգավորող/հեղինակություն։

Bow-Tie Analysis-ը 'իրադարձության վերջնական հետևանքների պատճառները։ յուրաքանչյուր կողմի համար օրգանական և մեղմացնող վերահսկում էին։

FTA (Fox Tree Analysis) 'կրիտիկական ծառայությունների համար հրաժարվելու տրամաբանական ծառերը (դեպոզիտ, տոկոսադրույքը, եզրակացությունը)։

HAZOP/What-If: Համակարգային հետազոտություն «ի՞ նչ եթե»։ ինտերֆեյսների և ընթացակարգերի միջոցով։

6) Քանակական տեխնիկա

ALE (Annualized Loss Expectancy): ALE = SLE no ARO (ակնկալվող տարեկան վնասը)։

VaR/CVaR: ռիսկի կապիտալը վստահության նշված մակարդակում (տոմսարկղային բացթողումների/ստացիոնար պրովայդերների համար)։

Monte-Carlo-ը Picks-ի մոդելավորումն է/պրովայդերների հրաժարումը/վստահելի ընդմիջումների հետ վճարումների փոխարկումը։

FM.RU: Ծանրության գնահատումը (S), հաճախականությունը (O), հայտնաբերումը (D) RPN = S 35O 35D, ուղղումների գերակայությունը։

Reliability math: headrome, MTF/MTTR, burn-rate սխալների բյուջե, միասին ձախողումների հավանականությունը (AZ + պրովայդեր)։

7) Ռիսկի-ախորժակը և շեմերը

Ռուսական կատեգորիաները (բարձր/միջին/ցածր) SLA-2019, տուգանքներ, եկամուտների կորուստ մեկ/օրվա ընթացքում։

Էսկալացիայի պարամետրերը հետևյալն են. Երբ դեպքը/ռիսկը անցնում է մակարդակների միջև, ովքեր պարտավոր են հավաքել bar-rum։

Անտեսեք բացառությունները (ռիսկի ժամանակավոր ընդունումը) 'վերանայման և փակման պլանի հետ։

8) KRI և վաղ նախազգուշացում

KRI-ի օրինակները

Արտադրողականությունը 'p95/p99 ռուբլիներ, թայմաուտների աճը, հերթերի խորությունը, cache-hit անկումը, replanslag։

Վճարումները 'GEO/bank-ում, sast-decae աճը, AOV-ի անոմալիան։

Անվտանգություն '4xx/5xx-ի աճը կրիտիկական էնդպոինթամներով, WAF-ի աճը, նոր CVE-ը կախվածություններում։

Կոմպլենսը 'պահեստավորման սահմանաչափերի ավելցուկ, KYC-ի ձգձգումը, ինքնաբացարկի մասնաբաժինը առանց վերամշակման։

Յուրաքանչյուր KRI-ի համար սեփականատերն է, մետրը, շեմերը, աղբյուրները, alerta-ալերտները։

9) Ազդեցության գնահատումը (բազմակողմանի)

SLA/SLO: Րոպե/ժամացույց նպատակից դուրս, ազդեցություն SLA բոնուսների վրա։

Ֆինանսներ ՝ ուղղակի կորուստներ (չկատարված գործարքներ, chargeback), անուղղակի (churn, տուգանքներ)։

Կարգավորիչ ՝ լիցենզիայի/պարտադիր ծանուցումների ռիսկ։

Հեղինակություն ՝ NPS/CSAT, բացասական նշումների ալիքը, գործընկերների և ստրիմերների վրա ազդեցությունը։

10) Ռիսկերի մշակումը (միջոցառումների կատալոգը)

Կանխումը 'ռիսկային ֆիչից/պաթոգեններից հրաժարվելը, blast-radius սահմանափակումը (tenant-մեկուսացում, rate-limit)։

Նվազեցում 'BD շարդինգ, քեշինգ, փամփուշտներ/քվոտաներ, վճարումների մուլտֆիլմ-պրովայդեր, կանարյան վճարումներ։

Փոխանցումը 'ռուսական կիբեր ռիսկեր, SLA փոխհատուցում պայմանագրերում, escrow-ում։

Ընդունումը 'փաստաթղթավորված լուծում վերահսկվող հիբրիդային ռիսկի ժամանակ, KRI-ի և ելքի պլանի հետ։

11) Դերեր և RACI

Responsible: Risk/Ops/OPE/Payments/SecOps-ի սեփականատերերը։

Accountable: Head of Ops/CTO/CRO.
Consulted: Product, Data/DS, Legal/Compliance, Finance.
Informed: Support, Marketing, Partner Management.

12) Արտեֆակտները և ձևանմուշները

Risk Register (ռիսկերի լուծումը) 'ID, նկարագրություն, կատեգորիա, պատճառներ, հավանականություն, ազդեցություն առանցքների վրա, գոյություն ունեցող, KRI, մշակման պլանը, սեփականատերը, ժամանակահատվածը։

Risk Heatmap 'համախմբված քարտեզը բաժանմունքների/ծառայությունների վրա։

Dependency Map: քննադատական արտաքին և ներքին կախվածությունները, կոդավորման մակարդակները, կոնտակտային տվյալները։

Runbooks/Playbooks: Հատուկ քայլեր KRI/պատահարի, kill-switches, դեգրադացիայի ժամանակ։

Quarterly Risk Review: Փոփոխությունների համը, փակված/նոր ռիսկերը, KRI միտումները, վերահսկման արդյունավետությունը։

13) Ինտեգրումը SLO/պատահականության կառավարման հետ

Ռիսկերը փոխարկվում են SLO թիրախում (latency, error-rate, հասանելիություն) և սխալների բյուջեին։

KRI-ն ալերտ քաղաքականության (արագ/դանդաղ burn-rate)։

Post-mortem-ում պետք է ամրագրել ռիսկի գնահատման նորարարությունը և վերահսկումը։

14) Գործիքներ և տվյալներ

Մոսկվա/աստղադիտարան ՝ մետրիկներ, լոգներ, ճանապարհներ։ «ռիսկի տեսակների» վահանակները։

Պիտերբուրգը և CMDB-ը 'ծառայություններ, սեփականատերեր, կախված բաղադրիչներ։

GRC/Task-Traker 'Ռուսաստանի ռիսկերի, կարգավիճակների, գործողությունների պահպանումը։

System/ML: անոմալիայի մոդելները, բեռի/ձախողումների կանխատեսումը, Monte-Carlo սիմուլյացիան։

15) Ճանապարհի քարտեզը (8-10 շաբաթ)

Մոսկվան։ 1-2 'համատեքստը և շրջանակը; քննադատական ծառայությունների և կախվածության ցանկը. ռիսկի-ախորժակի սահմանումը։

Մոսկվան։ 3-4 'ռիսկերի առաջնային նույնականացումը (vorkshops, retro), փաթեթավորման լրացումը, սև heatmap։

Մոսկվան։ 5-6 'KRI և alerts, SLO-ի հետ։ Bow-Tie/FTA-ի արձակումը լավագույն 5 ռիսկերի համար։

Մոսկվան։ 7-8: քանակական գնահատական (ALE/VaR/Monte-Carlo) ֆինանսական նշանակալի գործողությունների համար։ վերամշակման պլանների հայտարարությունը։

Մոսկվան։ 9-10 'պատրաստակամության փորձարկումը (game day, failover), շեմերի ուղղումը, եռամսյակային շարժիչների արձակումը։

16) Գնահատված ռիսկերի օրինակներ (iGaming)

1. PSA-1-ի հեղինակային իրավունքի ձախողումը 2019 թվականին

Հավանականություն 'Միջին; Ազդեցությունը 'Բարձր (եկամուտներ, SLA)։

KRI 'բանկային/GEO-ի հեղինակային իրավունքի փոխարկումը, sast-decom աճը։

Միջոցներ 'մուլտֆիլմ-պրովայդեր, rowting health & fee, retray ջիթերի հետ, լիմիտներ։

2. BD ծանրաբեռնվածությունը կատարվում է LC խաղի օրը

Հավանականություն 'Միջին; Ազդեցությունը 'Բարձր (SLO)։

KRI 'lag կրկնօրինակումը, p99 հարցումը, prok-wait աճը։

Միջոցները ՝ քեշը/CQRS, շարդինգը, գծերի բեռնումը, read-only ռեժիմը։

3. DDoS հանրային API

Հավանականություն 'Ցածր-Միջին; Ազդեցությունը 'Բարձր (հասանելիություն, հեղինակություն)։

KRI 'MSN/HTTP, WAF-ձգիչներ։

Միջոցները ՝ CDN/WAF, rate-limit, հոսանքներ, գլխարկներ, բոտերի մեկուսացում։

4. Կարգավորող անհամապատասխանություն KYC պահպանման

Հավանականություն 'Ցածր; Ազդեցությունը 'շատ բարձր (տուգանք/արտոնագիր)։

KRI 'Ստուգումների ուշացում> SLA, ավելցուկ retention։

Միջոցառումները 'policy-as-code, ավտոմատ TTL, աուդիտ և թեստեր պրոդ տվյալների վրա։

17) Անտիպատերնի

«Աչքերի վրա» գնահատումը առանց ռուսական և KRI-ի։

Մատրիցները առանց փողի և SLO-ի հետ կապված սխալ առաջնահերթություններ են տալիս։

Հազվագյուտ ակնարկներ (ֆորումը չի նորարարվում դեպքից հետո)։

«Մշակումը» միայն փաստարկներ առանց իրականացված վերահսկողությունների/թեստերի։

Արտաքին կախվածության և պայմանագրային SLA-ի անտեսումը։

18) Հաշվետվություններ և հաղորդակցություն

Exec-կամարը 'ռիսկի առաջին 10 ռիսկի, KRI միտումները, vs-ի հիբրիդային ռիսկը, փակման պլանը։

Այդ հաշվետվությունները 'վերահսկման արդյունավետությունը, game day արդյունքները, շեմերի փոփոխությունները։

Իրողությունն այն է, որ ամսական ակնարկները + եռամսյակային խորը գերագնահատում են։

Արդյունքը

Ռիսկերի գնահատումը ոչ թե ստատիկ փաստաթուղթ է, այլ կենդանի ցիկլ, որոնք բացահայտում են, թե ինչպես են մարդիկ հաշվում ռիսկի-ախորժակը, ընտրեցին և կատարեցին միջոցներ, որոնք ստուգում էին տվյալները և ուսուցումները, թարմացվեցին։ Այս ստանդարտը կապում է վիրահատական լուծումները բիզնեսի արժեքի հետ և նվազեցնում է հաճախությունը/չափումը SLO-ի կայուն պահպանմամբ և կարգավորիչների պահանջներով։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Telegram
@Gamble_GC
Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։