Անվտանգություն և համակարգչային հավաստագրեր

Ինչու՞ է դա անհրաժեշտ

Հավաստագրությունները և հավաստագրերը ապացուցում են անվտանգության հասուն փորձարկումները և նվազեցնում են վաճառքի ցիկլը (due diligence), բացելով հասանելիությունը կարգավորվող շուկաներին և ձեռնարկություններին։ Բանալին ոչ թե «չափված ստուգման կետերի կառավարման շարունակական համակարգ» է։

Լանդշաֆտի քարտեզը (ինչ և երբ ընտրել)

ISO/IEC 27001 տեղեկատվական անվտանգության կառավարման համակարգը (ISSA)։ Համընդհանուր «կմախք» գործընթացները։

Ավելացումներ ՝ III 27.27 (ամպ), 27.28 (privacy ամպի մեջ), 27701 (PIMS, մասնավոր), 22301 (BCSA, կայունություն)։

SOC 2 (AICPA): Type I (դիզայնը ամսաթվի համար) և Type II (դիզայն + վիրահատական արդյունավետություն ժամանակահատվածի համար, սովորաբար 3-12 մեզ)։ Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.

PCI DSS (քարտեզների մշակման համար) 'գործողությունների ծավալի մակարդակները, ROC/AOC-ը QIV-ի մասնակցությամբ, եբեքվարթալ ASV սկանները, պենտեստները և CHD-գոտու հատվածները։

CSA STAR (Level 1-3) 'հայտարարագիր/աուդիտ ամպային պրովայդերների և ծառայությունների համար։

Բացի այդ, RF 20000 (ITSM), ISO 310,000 (ռիսկի կառավարում), CSO 24001 (anti-bribery), TISAX/ISSA 3002 (արդյունաբերական/ֆինանսներ)։

GDPR/մասնավորեցումը '«www.GDPR» որպես այդպիսին չկա։ Կիրառում են III 27701 և անկախ գնահատականներ/վարքի դրույթներ։

💡 Ընտրության կանոնը 'B2B SaaaS/fintech NO 27001 + SOC 2 Type II; ստացիոնար հոսքեր/քարտեզներ wwww.PCI DSS; խիտ աշխատանք PII-ի հետ 27701; ամպային ֆոկուս 2427.27/27.28/CSA STAR։

Սերտիֆիկացում vs հավաստագրում

Սերտիֆիկացիան (III) 'հավատարմագրված օրգանը տալիս է 3 տարվա վկայագիր տարեկան ֆոսֆորների հետ։

Սերտիֆիկացիան (SOC 2) 'անկախ ֆոսֆորը հրատարակում է զեկույցը (opinion) ժամանակահատվածի համար։ փաստաթուղթը տալիս եք հաճախորդներին NDA-ի տակ։

PCI DSS 'հաստատվում է ROC (Report Compliance) և AOC (Attestation of Compliance), կամ SAQ-ը ավելի փոքր հաճախորդների համար։

Սկոպը 'ինչպես կարելի է հատել սահմանները

1. Ակտիվները և գործընթացները ՝ ապրանքներ, միջատներ (105/stage), տարածաշրջաններ, ամսաթվերը (PII/ֆինանսներ/քարտեր)։

2. Տեխնոլոգիական ճարտարապետությունը 'ամպը, MSC/VNet, Kubernetes, CI/CD, գաղտնիք-կառավարում, SNH/վերլուծություն։

3. Կազմակերպական գոտիները 'գրասենյակներ/հեռակառավարումներ, կապալառուներ, աուտսորս աջակցություն։

4. Մատակարարները (third parties): PMS, բովանդակության պրովայդերներ, KYC/AML, ամպերը միասին պատասխանատվության մոդել են։

5. Բացառություններ 'գրանցեք, թե ինչու են շտապողականությունը և փոխհատուցող միջոցները։

Ճանապարհային քարտեզը «առաջին բեյջը»

1. Gap-վերլուծություն նպատակների դեմ (27001/SOC 2/PCI)։

2. Ռիսկի կառավարումը 'մեթոդաբանություն, ռիսկերային ռիսկեր, վերամշակման պլան, Statrium of Applicability (III)։

3. Քաղաքական գործիչները և դերերը ՝ IB/մասնավոր քաղաքականությունը, տվյալների դասակարգումը, հասանելի (IAM), տրամաբանությունը, արձագանքը, BCM/DR։

4. Տեխնոլոգիական վերահսկում 'ծածկագրում, ցանցեր (WAF/WAAP, DDoS), խոցելիություն/պատկեր, անվտանգ MSLC, bekaps, 108։

5. Ապացույցների բազան 'հաշվարկներ, ամսագրեր, սկրինշոտներ, արտանետումներ, տիկետներ' տաճարային տարբերակիչ։

6. Ներքին աուդիտ/Readiness գնահատական։

7. Արտաքին աուդիտ 'stage 1 (dok-revew) nostage 2 (արդյունավետություն/sempla)։ SOC 2 Type II-ի համար «դիտարկման ժամանակահատվածը» է։

8. Ստանդարտը/պահպանումը 'վերահսկման եռամսյակային ստուգումներ, տարեկան վերահսկողական աուդիտներ (ISO), SOC 2 տարեկան նորարարություն։

Վերահսկման մատրիցա (օրինակ մի հատված)

Ալգորիթմներ	ISO 27001 Annex A	SOC 2 TSC	PCI DSS	Կառավարման տեսակը/արտեֆակտը
Հասանելի կառավարումը	A.5, A.9	CC6. x	7, 8	RBAC/ABAC, JML, SCPS-logs, ճիշտ
Կոդավորումը	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTSA, հիմնական քաղաքականությունները
Խոցելիություն/փամփուշտներ	A.12, A.14	CC7. x	6, 11. 3	Սկաններ, MTTP, պենտեստ հաշվետվություններ, ASV
Լոգա/2019	A.5, A.8, A.12	CC7. x	10	SIEM/SOC, retenshn, alerts և RCA
BCM/DR	A.5, A.17	A1. x	12	22301 պլաններ, DR թեստերի արդյունքները

Ի՞ նչ է ցույց տալիս ֆոսֆորը (տիպային հարցումներ)

Հասանելի են 'IdP/IAM զեկույցները, JML լոգները, արտոնությունների նախանձը։

Գաղտնիքները ՝ KFC/Vox քաղաքականությունները, միգրացիայի պատմությունը։

Խոցելիությունների սկանավորում 'վերջին զեկույցները, արհեստների հյուսվածքները, MTTP-ի ժամանակը։

Ամսագրեր/ալերտներ ՝ Cass 2019, MTD/MTTR, post-մորտներ։

Մատակարարները ՝ 108, DPIA/DTIA (եթե PII), պայմանագրային միջոցներ, ռիսկերի գնահատականներ։

Ուսուցում և թեստեր 'ֆիշինգի սիմուլյացիա, IB դասընթացներ, ապացույցներ։

BC/DR 'վերջին ուսմունքների արդյունքները, RTO/RPO փաստերը։

Շարունակական վերահսկողություն (Continuous Compliance)

Policy-as-Code: OPA/Gatekeeper/Kyverno դոպլոների համար; «Enforce» -ը կրիտիկական կանոնների վրա։

Intinuus Systel Monitoring (MSM) 'ստուգումներ յուրաքանչյուր N րոպե/ժամ (տանկերի կոդավորումը, բաց կոդավորումը, MFA-coverage)։

GRC համակարգը 'վերահսկման, սեփականատերերի, առաջադրանքների և ժամկետների ապահովումը, մետրի կապումը։

Միակ արտեֆակտը '«ապացույցներ» (evidence) տարբերակվում և տեղադրվում են վերահսկողական կետը։

Մրցույթի ավտոմատ արտադրությունը ՝ SoA, Risk Register, Systl Effectiveness, KPI/SLO վերահսկողությունների վրա։

Metriki և SLO կոմպլանսի համար

Coverage: Վերահսկման տոկոսը ավտոմատ ստուգմամբ, ակտիվների տոկոսը արագ։

Արձագանքի ժամանակը 'լսարանի հարցումների փակումը հինգ աշխատանքային օր է։

Տե՛ ս. «Վերահսկումը կանաչ գոտում չէ» ամսական 1 տոկոսն է։

Խոցելիությունները ՝ MTTP P1 2448 ժամ, P2 247 օր; պենտեսթ-ռեմիդացիան 30 օր է։

Ուսուցում IB 'անձնակազմի ծածկումը 98 տոկոսն է, 12 մեզ հաճախականությունը։

Հատուկ ամպերի և Kubernetes-ի համար

Ամպը ՝ ռեսուրսների բուլարիզացիա (IaC), «www.ru »/» ալիքի վրա», ամսագրում (CloudTrail/Activity Logs), նվազագույն դերեր։ Օգտագործեք պրովայդերների հավաստագրման հաշվետվությունները (SOC 2, IV, PCI) որպես «ժառանգված» պաշտպանության մի մասը։

Kubernetes: RBAC namespace, Admission-քաղաքականություն (պատկերների ստորագրություններ/SBIV, արգելք 'latest'), ցանցային քաղաքականություն, գաղտնիքներ etcd (KFC), API սերվերի, սկան-պրոֆիլներ պատկերների/կլաստերների համար։

Ցանցեր և պարագծեր ՝ WAF/WAAP, DDoS, սեգմենացիա, ZTNA փոխարեն «լայն» SDN-ի փոխարեն։

PCI DSS (պիտակավորված միջավայրի համար)

CHD-գոտիների սեգմենտացիան 'նվազագույն համակարգերը շուտով; MTSA k PSA; Webhuki - HMAC-ի հետ։

Եժեքվարթալ ASV-սկանները և տարեկան պենտեստները (ներառյալ հատվածները)։

Լոգներն ու ամբողջականությունը 'FIM, անփոփոխ ամսագրեր, «ժամանակը տպագրության տակ» (NTP)։

Փաստաթղթերը ՝ Քաղաքականություն, Քարտեզագրական տվյալների հոսքի դիագրամներ, AOC/ROC, ինտեգրման ընթացակարգեր։

Մասնավոր (CSO 27701 + GDPR մոտեցում)

Դերերը 'վերահսկիչ/պրոցեսոր, տեխնոլոգիական վերամշակումներ, իրավական հիմքեր։

DPIA/DTIA: Գաղտնիության և հիբրիդային ռիսկերի գնահատում։

Սուբյեկտների իրավունքները 'SLA պատասխանները, որոնման տեխնոլոգիական միջոցները/2019։

Նվազագույնի/կեղծանունացում 'ճարտարապետական փամփուշտներ և DLP։

Artefacts (պատրաստի ձևանմուշներ 'ինչ պահել «ձեռքի տակ»)

Stations of Applicability (SoA), Annex A.

Dell Matics (ISO no SOC2 no PCI) սեփականատերերի և ապացույցների հետ։

Risk Register-ը մեթոդով (impact/likelihood) և մշակման պլանը։

BC/DR պլանները + վերջին ուսմունքների արձանագրությունները։

Secure CORLC փաթեթը 'չեկի թերթիկները հեղափոխությամբ, SFC/DTS հաշվետվությունները, ապշեցուցիչ պոլիս։

Supplier Due Diligence: (SIG Lite/CAIQ), ռիսկերի գնահատականներ, պայմանագրային միջոցներ։

Հաճախակի սխալներ

«Աուդիտ հանուն մրցույթի» 'գոյություն չունի կենդանի գործընթացներ, միայն քաղաքական։

Չափազանց լայն կմախք 'թանկ և բարդացնում է պահպանումը։ սկսեք «արժեքի միջուկից»։

Ապացույցների ձեռքով հավաքումը 'բարձր վիրահատական պարտք; ավտոմատիզացրեք MSM և դուրս հանեք։

Նրանք վերահսկում էին առանց մետրի. Անհնար է կառավարել (ոչ SLO/սեփականատեր)։

Մոռացված փոստ-սերտիֆիկացման ռեժիմ, չկա ստուգումներ, որոնք ուղղված են վերահսկողությանը։

Կապալառուները դուրս են, երրորդ կողմերը դառնում են կոդավորման աղբյուրը և «կարմիր քարտեզը» աուդիտի վրա։

Պատրաստության թուղթ (կրճատ)

Euroscope, ակտիվներ, սեփականատերեր; տվյալների և հոսքերի քարտեզը։

Քաղաքականություններ, ընթացակարգեր, անձնակազմի ուսուցում ավարտված և արդիական են։
Վերահսկել ավտոմատացված (MSM), դաշնամուրները և ալերտները միացված են։
Յուրաքանչյուր վերահսկողության ապացույցները հավաքվում են/տարբերակվում։
Ռուսաստանի ներքին աուդիտ/Readiness; կրիտիկական բացերը վերացվեցին։
Նշանակված է Ֆեդոր/օրգան, համաձայնեցված դիտարկման ժամանակահատվածը (SOC 2) կամ Stage 1/2 պլանը (III)։
Penteste/ASV (PCI) տեղում, ամրացման պլանը և ֆիքսների հաստատումը։

[Windows ռիսկերը, SoA (RF-ի համար), Trust You Criteria (SOC 2 համար) տեղադրված են վերահսկողությունների վրա։

Մինի ձևանմուշ

Մոնտրիկի քաղաքականությունը վերահսկման համար (օրինակ)

Վերահսկումը '«PII-ի բոլոր բաքերը կոդավորված են KFC-ից»։
SLI 'տանկերի տոկոսը միացված ծածկագրերով։
Նպատակը ՝ 3699։ 9%.
Ալերթ 'ընկնելիս <99։ 9 տոկոսը ավելի քան 15 րոպե է P2, սեփականատերը Head of Platform-ն է։

Ապացույցների ամսագիր (հատված)

Վերահսկում	Ապացույցներ	Հաճախականությունը	Պահեստ	Պատասխանատու
------------------------- 	 ------------------------------- 	 ----------- 	 ---------------- 	 -------------
PII հասանելիության տրամաբանությունը	SIEM արտահանումը 90 օրվա ընթացքում	Ամսական	 GRC/Evidence Hub 	 SOC Lead
Գաղտնիքների ռոտացիան	 Vault audit log + change ticket 	Ամեն շաբաթ	 GRC       	 DevOps Lead

Հատուկ iGaming/fintech համար

Բարձր ռիսկի օրինագծերը ՝ վճարումները/վճարումները, հակաֆրոդը, բեքոդը, գործընկերները, գերակայությունն են արագ և վերահսկողություններում։
Բիզնեսի մետրերը ՝ Time-to-Wallet, հակադարձ հակադարձումը, դեպոզիտ, հաշվի առեք պաշտպանիչ միջոցառումների և աուդիտների ազդեցությունը։
Ինտենսիվությունը 'ԵՄ/ԼԱԹԱՄ/ԱՍԻԱ-ի պահանջները' հիբրիդային դեղամիջոցներ, տեղական կարգավորիչներ։
Բովանդակության մատակարարները/PMS: պարտադիր due diligence, mTSA/HMAC, իրավական դոպեդիա տվյալների համաձայն։

Արդյունքը

Հավաստագրերը կարգապահության և ավտոմատացման հետևանք են 'ռիսկի կառավարում, կենդանի քաղաքականություն, չափված և անընդհատ պատրաստակամություն։ Ընտրեք ճիշտ հավաքածու (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), ուրվագծեք սկուտեղով, ավտոմատիզացրեք ստուգումները (SNM/Policy-as-Code), պահեք արտեֆակտները կարգին և չափեք SLLLLO LLO կոմպլանսը կդառնա կանխատեսելի և կաջակցի արտադրանքի աճը, ոչ թե արգելակը։