GH GambleHub

SOC 2: უსაფრთხოების კონტროლის კრიტერიუმები

1) SOC 2 ორი სიტყვით

SOC 2 არის დამოუკიდებელი შეფასება იმისა, თუ როგორ შეიმუშავებს ორგანიზაცია და ასრულებს ოპერაციას, რომელიც აკონტროლებს AICPA Trust Service Criteria (TSC) შესაბამისად.
IGaming- ში ეს ზრდის რეგულატორების/ბანკების/PSP/პარტნიორების ნდობას და ამარტივებს TPRM- ს.

მოხსენებების ტიპები:
  • ტიპი I არის მყისიერი მდგომარეობა (კონკრეტული თარიღისთვის): სწორად არის შექმნილი თუ არა კონტროლირებადი.
  • ტიპი II - პერიოდისთვის (ჩვეულებრივ 6-12 თვე): მუშაობს თუ არა ისინი პრაქტიკაში სტაბილურად (ნიმუშებით).

2) Trust Service Criteria (TSC) და როგორ წაიკითხოთ ისინი

ძირითადი დომენია უსაფრთხოება (Common Criteria). დანარჩენი სურვილისამებრ ემატება რეგიონს:
კრიტერიუმიმიზანიაუდორის კითხვების მაგალითები
Security (CC)დაცვა უნებართვო წვდომისგანMFA, RBAC/ABAC, SoD, ჟურნალები, დაუცველების მენეჯმენტი
Availabilityმიზნები ხელმისაწვდომიაDR/BCP, RTO/RPO, SLO მონიტორინგი, ინციდენტის მენეჯმენტი
Confidentialityკონფიდენციალური მონაცემების დაცვაკლასიფიკაცია, დაშიფვრა, შენიღბვა, ექსპორტის კონტროლი
Processing Integrityსისრულე/სიზუსტე/დამუშავების დროულობამონაცემთა ხარისხის კონტროლი, შერწყმა, ტესტები
Privacyკონფიდენციალურობის ციკლი PII- სთვისიურიდიული საფუძვლები, RoPA, DSAR, retenshne, CMP

3) კონტროლის მოდელი და სავალდებულო ელემენტები (უსაფრთხოება - CC)

მთავრობის და რიკის: IB პოლიტიკა, რისკის რეესტრი, მიზნები, როლები/RACI, ტრენინგი.

Access Control: RBAC/ABAC, SoD, JIT/PAM, პაროლები/MFA, SCIM/IGA პროვოცირება, offboarding 15 წთ

Change & SDLC: DevSecOps, SAST/DAST/DS, IaC სკანირება, CAB, ჟურნალები, გამოტოვება.
Logging & Monitoring: ცენტრალიზებული ლოგოები (WORM + ხელმოწერა), SIEM/SOAR, KRI ალერტები.
Vuln & Patch: იდენტიფიკაციის/კლასიფიკაციის პროცესი, SLA High/Critical, განლაგების დადასტურება.
Incident Response: playbook, RACI, war-room, postmortems და CAPA.
Vendor/TPRM: due diligence, DPA/SLA, აუდიტის უფლება, მოვაჭრეების მონიტორინგი.

4) გაფართოებული კრიტერიუმები (A, C, PI, P)

Availability (A)

SLO/SLA და დაშბორდები; DR/BCP (RTO/RPO), ყოველწლიური ტესტები; კონტეინერი/cross რეგიონი; ინციდენტების პროცესი ხელმისაწვდომობის შესახებ.

Confidentiality (C)

მონაცემთა კლასიფიკაცია; დაშიფვრა at rest/in transit (KMS/HSM); tockenization PII; ექსპორტის კონტროლი (ხელმოწერა, ჟურნალი); retenschne.

Processing Integrity (PI)

მონაცემთა ხარისხის კონტროლი: სქემები/ვალიდაცია, დედუპლიკაცია, რეკონსტრუქცია; დავალებების დაწყების კონტროლი; რაციონალური ცვლილებების მენეჯმენტი.

Privacy (P)

კონფიდენციალურობის პოლიტიკა; RoPA/იურიდიული საფუძვლები; SMR/თანხმობა; DPIA/DSAR; შენიღბვა/ჭრა; ტრეკერების აუდიტი/SDK.

5) Mapping SOC 2 - თქვენი პოლიტიკოსები/მაკონტროლებელი

ISO 27001/ISMS, რომელიც მოიცავს CC- ს საფუძველს (რისკების, პოლიტიკის, ლოგოების, დაუცველების მენეჯმენტი).
ISO 27701/PIMS დახურავს უამრავ კერძო კრიტერიუმს.
შიდა სექციები: RBAC/Least Privilege, პაროლის პოლიტიკა და MFA, ლოგოების პოლიტიკა, ინციდენტები, TPRM, DR/BCP - პირდაპირ მაფია TSC- ზე.

💡 რეკომენდებულია შესაბამისობის მატრიქსის შედგენა: „TSC პუნქტი - პოლიტიკა/კონტროლის პროცედურა მეტრულ - evidence“.

6) evidences კონტროლისა და მაგალითების კატალოგი

თითოეული კონტროლისთვის: ID, მიზანი, მფლობელი, სიხშირე, მეთოდი (მანქანა/სახელმძღვანელო), მტკიცებულებების წყაროები.

მაგალითები (ფრაგმენტი):
  • 'SEC-ACCESS-01' - MFA Admin წვდომისთვის - IDP ანგარიში, პარამეტრების ეკრანები, ლოგოების ნიმუში.
  • 'SEC-IGA-02' - Offboarding - 15 წთ.
  • 'SEC-LOG-05' - უცვლელი ჟურნალები (WORM) - კონფისკაცია, ჰეშის ჯაჭვები, ნიმუშების ექსპორტი.
  • 'AVAIL-DR-01' - ყოველწლიური DR ტესტი - ტესტის პროტოკოლი, ფაქტობრივი RTO/RPO.
  • 'CONF-ENC-03' - KMS/HSM კლავიშების მართვა როტაციის პოლიტიკაში, KMS აუდიტი.
  • 'PI-DATA-02' - რეკონსტრუქცია გადახდების შესახებ - შერიგება, ინციდენტები, CAPA.
  • 'PRIV-DSAR-01' - SLA DSAR - მოთხოვნის რეესტრი, ტაიმსტამპები, პასუხის შაბლონები.

7) პროცედურები (SOP) SOC 2

SOP-1 ინციდენტები: დეტალი - შინაარსი - RCA - CAPA - ანგარიში.
SOP-2 ცვლილების მენეჯმენტი: PR - CI/CD - scands - CAB - desplay - უკონტროლო გამოტოვება/ფიქსაცია.
SOP-3 დაუცველობა: intake - SLA კლასიფიკაცია - ფიქრის გადამოწმება და ანგარიშის გამოცემა.
SOP-4 ხელმისაწვდომი: JML/IGA, კვარტალური R- სერტიფიკაცია, SoD ბლოკები, JIT/PAM.
SOP-5 DR/BCP: ყოველწლიური ტესტები, ნაწილობრივი სწავლებები, RTO/RPO ფაქტების გამოქვეყნება.
SOP-6 ექსპორტები/კონფიდენციალურობა: თეთრი სიები, ხელმოწერა/ჟურნალი, რეცენზია/წაშლა.

8) აუდიტის მომზადება: ტიპი I - ტიპი II

1. TSC Gap ანალიზი: საფარის მატრიცა, დაკარგული მაკონტროლებლების სია.
2. პოლიტიკოსები და პროცედურები: განახლება, მფლობელების დანიშვნა.
3. ერთი evidence: logs, IDP/SIEM მოხსენებები, თიკეტები, ნიმუშების ექსპორტი (ხელმოწერებით).
4. Internal Readiness Audit: აუდიტის კითხვარის დაძლევა, შერჩევის დაფიქსირება.
5. ტიპი I (თარიღი X): აჩვენეთ კონტროლის დიზაინი და გაშვების ფაქტი.
6. დაკვირვების პერიოდი (6-12 თვე): არტეფაქტების უწყვეტი შეგროვება, აღმოჩენების დახურვა.
7. ტიპი II: მიაწოდეთ ნიმუშები პერიოდისთვის, ანგარიში ოპერაციული ეფექტურობის შესახებ.

9) მეტრიკა (KPI/KRI) SOC 2-ისთვის

KPI:
  • MFA adoption (ადმირალები/კრიტიკული როლები) = 100%
  • Offboarding TTR 15 წუთი
  • Patch SLA High/Critical დახურული დროულად 95% -ზე მეტი
  • DR ტესტები: გრაფიკის შესრულება = 100%, ფაქტობრივი RTO/RPO ნორმალურად
  • Coverage logration (WORM) კრიტიკული სისტემების 95% -ს შეადგენს
KRI:
  • წვდომა PII- ს გარეშე 'purpose' = 0
  • დარღვევები SoD = 0
  • ინციდენტებს მოგვიანებით აცნობეს რეგულაციები = 0
  • განმეორებითი დაუცველობა მაღალი/Critical> 5% - ესკალაცია

10) RACI (გაფართოებული)

აქტივობაBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
SOC 2 რეგიონიA/RRCCCCCCI
საკონტროლო კატალოგიIA/RRCRRRCI
ევიდენციის საცავიIA/RRRRRRCI
Readiness/შიდა. აუდიტიIRRRRRRCA/R
გარე აუდიტიIRRRRRRCI
სარა/რემედიაციაIA/RRRRRRCC

11) ჩეკის ფურცლები

11. 1 Readiness (Type I- ის წინ)

  • Scope (TSC და სისტემები) დაფიქსირდა
  • პოლიტიკა/პროცედურები აქტუალურია და დამტკიცებულია
  • კონტროლისა და მეტრიკის მფლობელები
  • evidence საცავის პროტოტიპი მზად არის (ლოგოები, IDP/SIEM ანგარიშები, თიკეტები)
  • ინციდენტის ტაბლეტი და DR მინი ტესტი ჩატარდა

დადასტურებულია რისკები და SoD მატრიცა

11. 2 დაკვირვების პერიოდი (I და II შორის)

  • ყოველკვირეული ნიმუშების/ლოგოების ექსპორტის შეგროვება
  • ყოველთვიური ანგარიში KPI/KRI
  • დაუცველების დახურვა SLA- ში
  • უფლებების კვარტალური დამოწმება
  • DR/BCP ტესტი გეგმის შესაბამისად

11. 3 ტიპი II- ის წინაშე

  • ვადების სრული ნაკრები პერიოდისთვის (თითოეული კონტროლისთვის)
  • ინციდენტების/დაუცველების რეესტრი და CAPA
  • მენეჯმენტის მიმოხილვის ანგარიში (პერიოდის შედეგები)
  • განახლებული TSC mapping მატრიცა კონტროლდება

12) ხშირი შეცდომები და როგორ მოვერიდოთ მათ

„პოლიტიკოსები პრაქტიკის გარეშე“: აჩვენეთ ლოგოები, თიკეტები, DR/ინციდენტების ოქმები - არა მხოლოდ დოკუმენტები.
სუსტი ლოგიკა: WORM/ხელმოწერების და მოვლენების მკაფიო სემანტიკის გარეშე, აუდიტი უფრო რთულია.
უფლებების რესტრუქტურიზაცია არ არსებობს: „ჩამოკიდებული“ წვდომის რისკი კრიტიკული მინუსია.
გამყიდველების არასრული Scope: SOC 2 ხედავს ჯაჭვს - დაამატეთ TPRM, DPA/SLA, აუდიტის უფლებები.
ერთჯერადი მიღწევა რუტინის გარეშე: შემოიღეთ SSM/dashbords და ყოველთვიური მოხსენებები.

13) საგზაო რუკა (12-16 კვირა - ტიპი I, კიდევ 6-12 თვე - ტიპი II)

არგუმენტები 1-2: TSC, Scope, მფლობელები, სამუშაო გეგმა.
არგუმენტები 3-4: პოლიტიკის/პროცედურების განახლება, კონტროლისა და მაპინგის მატრიცის კატალოგის შეგროვება.
კვირები 5-6: ლოგების კონფიგურაცია (WORM/ხელმოწერა), SIEM/SOAR, დაუცველობა/patch SLA, IdP/MFA, IGA/JML.
კვირები 7-8: DR/BCP მინიმალური ტესტები, TPRM განახლებები (DPA/SLA), ინციდენტის რეპეტიცია.
არგუმენტები 9-10: evidence საცავი, KPI/KRI ანგარიშები, შინაგანი ჯანმრთელობის აუდიტი.

კვირა 11-12: საბოლოო კორექტირება, აუდიტის დაჯავშნა, ტიპი I

შემდეგი: ყოველკვირეული არტეფაქტების შეგროვება, პერიოდის ბოლოს კვარტალური შურისძიება Type II.

TL; DR

SOC 2 = მკაფიო Scope TSC საკონტროლო კატალოგი მფლობელებთან და მეტრიკებთან ერთად evidence Design & Operating - უწყვეტი logs/SIEM/IGA/DR/TPRM - REEEaDaDEIIIIOIOOD D D D D COOD D D CED D D DEEaTEarD arTaTEEEEEVaTნაგულისხმევი დადასტურება "- და აუდიტი გაივლის სიურპრიზების გარეშე.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.