Инциденттерге жана агып чыгууларга реакция

1) Максаты, принциптери жана камтуу

Максаты: зыянды жана юридикалык тобокелдиктерди азайтуу, операциялардын үзгүлтүксүздүгүн жана коопсуздук/комплаенс инциденттеринде иш-аракеттердин далилдүүлүгүн камсыз кылуу.
Принциптер: "тез кармоо → так ырастоо → ачык-айкын документтештирүү → мыйзамдуу билдирүү → кайталоону болтурбоо".
Камтуусу: киберкылмыштар (DDoS, АТО, хакерлер, алсыздыктар), PII/төлөм маалыматтарынын ачыкка чыгышы, AML/KYC/санкциялардын бузулушу, провайдерлердин бузулушу (KYC/PSP), жарнама/жоопкерчиликтүү оюн инциденттери (RG), компромат өнөктөштөр.

2) Классификация жана олуттуу триггерлер

3) SLA эскалация жана "окуя-көпүрө"

Инициация: High/Critical менен war-room (чат/чалуу) түзүлөт, Incident Commander (IC) дайындалат.
SLA: Info — n/a; Low - 24 саат; Medium — 4 ч; Жогорку - 1 саат; Critical - 15 мин.
Бридждеги ролдор: IC, Security Lead, SRE/Ops, Compliance (Депутат IC мыйзамдуулук боюнча), Legal/DPO, Payments/FRM, Support/VIP, PR/Comms, Data/Forensics.

4) Жооп берүү процесси (ылайыкташтырууда SANS/NIST-стек)

1. Даярдоо: runbooks, байланыш баракчалары, резервдик провайдерлер, тесттик алерттар, жеткиликтүүлүк "демейки жабык".
2. Идентификация: SIEM/SOAR корреляциялары, антифрод эрежелери, KRI сигналдары; фактыны/көлөмдү тастыктоо.
3. Containment (Containment): сегменттөө, аялуу Fich/EndPoint өчүрүү, гео-чектөөлөр, feature-flags, убакыт чектери/Hold.
4. Жоюу (Eradication): патч/ачкычтарды айлантуу, эсеп/түзмөк блогу, зыяндуу экспонаттарды тазалоо, сүрөттөрдү кайра чогултуу.
5. Калыбына келтирүү (Recovery): бүтүндүгүн валидациялоо, трафикти акырындык менен кошуу (канар бассейндери), регрессияны көзөмөлдөө.
6. Сабактар (Post-Incident): Post-Мортем ≤ 72 саат, CAPA планы, саясат/босоголор/моделдерди жаңыртуу.

5) Юридикалык билдирүүлөр жана тышкы коммуникациялар

• Data Control (DPA): тастыкталган агып PII → билдирүү (окуя сүрөттөлүшү, маалымат категориялары, чаралар, байланыш DPO).
• кумар жөнгө салуучу: массалык RG бузуулар/жарнамалык эрежелер/оюнчулар/отчеттуулук таасир кемчиликтер.
• Банктар/PSP: шектүү иш/SAR-учурларда, массалык chargebacks, төлөм агымынын компромисс.
• Колдонуучулар: маалыматтардын ачыкка чыгышы/зыяндын жогорку коркунучу; кат үлгүлөрү жана FAQ.
• Өнөктөштөр/сатуучулар: алардын же биздин жалпы агымын/маалыматтарды таасир окуя.

Комм-эрежелер: бирдиктүү спикер, божомолдорсуз фактылар, так аракеттер/сунуштар, билдирүүлөрдүн жана жооптордун бардык версияларын сактоо.

6) Forensics жана "далилдерди сактоо чынжыр" (Custody Chain)

Ким/качан/эмне чогулткан; WORM/өзгөрүлбөс сактоо колдонуу.
Томдорду/локторду тартуу, хеширлөө аркылуу экспонаттарды экспорттоо (SHA-256).
Кирүү "гана окуу", дубликат аркылуу иштөө.
Бардык буйруктарды/кадамдарды документтештирүү; таймлайн сактоо.
Артефакттарды үчүнчү жактарга өткөрүп берүүнүн мыйзамдуу/DPO шарттары менен макулдашуу.

7) Контролдонуучу байланыш (ички/тышкы)

Do: кыскача, иш жүзүндө, IC/Legal менен макулдашылган; төмөнкүчө көрсөтүлөт. апдейт-слот (мисалы, ар бир 60 мүнөт).
Don 't: фактылар сыяктуу гипотезалар, PIIнин ачылышы, айыптоолор, контролсуз мөөнөттөрдүн убадалары.

• Эмне болду ?/Олуттуулук/Таасир чөйрөсү/Көрүлгөн чаралар/Кийинки кадамдар/Кийинки жаңылоо...

8) Типтүү домен playbook 'жана

A) PII агып (тиркеме/backend/сатуучу)

1. Bridge ≤ 15 мүнөт → шектүү end-points/ачкычтарды тоңдуруп → маалыматтардын жеткиликтүүлүгүн жогорулатылган аудитти камтыйт.
2. Forensics: PII булагы/көлөмү/түрлөрүн аныктоо, убакыт.
3. Иш-аракеттер: сырларды айлантуу, фикстер, укуктарды текшерүү, вендорду изоляциялоо.
4. Билдирүүлөр: DPA/жөнгө салуучу/колдонуучулар/өнөктөштөр (талаптар боюнча).
5. Оюнчуларды колдоо: FAQ, колдоо каналы, сунуштар (сырсөздү өзгөртүү/алдамчылык).
6. Post-Мортем жана CAPA.

B) Оюнчулардын эсептерин компромисс (ATO/credential stuffing)

1. ATO сигналдарында Spike → rate limit/2FA-enforce/WebAuthn күчөтүү, убактылуу чыгаруу блоктору.
2. түзмөктөрдү кластерлөө/IP, жабыр тарткан билдирүүлөрдү жөнөтүү, Токендерди калыбына келтирүү.
3. Финансылык операцияларды текшерүү, зарыл болгон учурда SAR.

C) Провайдердин KUS/санкциялардан баш тартуусу

1. Fallback-провайдерге өтүү, тез корутундуларды чектөө, VIP үчүн кол менен агым.
2. Саппорт жана VIP-менеджерлер үчүн комм; создуктурганда - регуляторго/банктарга маалымдоо (эгерде текшерүүлөргө таасир этсе).

D) PSP/төлөм окуя (chargebacks/компромисс)

1. Катуу 3DS/AVS киргизүү, чектөөлөрдү жана velocity эрежелерин төмөндөтүү; тобокелдик тобу.
2. PSP/банкка билдирүү; адалдоо белгилери боюнча - EDD/SAR.
3. Жол кыймылын калыбына келтирүү жана текшерүү.

E) DDoS/жеткиликсиздик

1. Активдештирүү WAF/гео-кесүү/скруббинг; "суук" релиздер.
2. Аймактарды канареалык киргизүү, СЛОну көзөмөлдөө; туруктуулук боюнча пост-мортем.

9) Аспаптар жана экспонаттар

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, жашыруун менеджер, vault-айлануу, антифроддогу аномалияларды аныктоо, инциденттердин реестри, кабарлоо шаблондору.
Артефакттар: инциденттин реестри, бридж протоколу (таймлайн), форензия отчету, билдирүүлөр пакети (жөнгө салуучу/колдонуучулар/банктар), пост-мортем, CAPA-трекер.

10) Метрика жана максаттуу багыттары

MTTD (аныктоо чейин убакыт), MTTC (токтотуу чейин), MTTR (калыбына келтирүү чейин).
Белгиленген негизги себеп менен инциденттердин% ≥ 90%.
% өз убагында CAPA ≥ 95%.
Ошол эле себеп менен кайталанган инциденттердин үлүшү 5% ≤.
SLA жабылган окуялардын үлүшү: Medium ≥ 90%, High ≥ 95%, Critical ≥ 99%.

11) RACI (кеңейтилген)

Incident Commander (Ops/Sec): A башкаруу, чечим кабыл алуу, таймлайн.
Security Lead (R): техникалык. талдоо, forensics, containment/eradication.
Compliance/DPO (мыйзамдуулук үчүн R/A): квалификация агып, эскертмелер, жөнөтүү барагы.
Legal (C): укуктук баа берүү, келишимдер/келишимдер, каттардын формулировкалары.
SRE/Engineering (R): фикстер, артка кайтаруулар, туруктуулук.
Payments/FRM (R): өткөрүү, анти-жол босого, PSP/банктар менен өз ара аракеттенүү.
PR/Comms (R): тышкы билдирүүлөр, Q&A порт үчүн.
Support/VIP (I/C): оюнчулар менен байланыш алдында.

12) Үлгүлөр (минималдуу топтому)

12. 1 Окуя картасы (реестр)

ID· Аныктоо убактысы· Класс/олуттуулук· Таасир эткен (системалар/маалыматтар/юрисдикциялар)· IC· Тех/бизн ээси· Биринчи чаралар· Көлөм/зыяндын баасы· Билдирүүлөр (кимге/качан)· Артефакттарга шилтемелер· Статус/САРА/мөөнөттөр.

12. 2 Колдонуучуларга эскертүү (кысып)

Эмне болду; кандай маалыматтар таасир этиши мүмкүн; биз эмне кылдык; сизге эмне сунуш; байланыштар; саясат/FAQ шилтемеси.

12. 3 Post-Мортем (түзүмү)

Фактылар/таймлайн· Импакт· Баштапкы себеп (5 Whys)· Эмне иштеди/иштебеди· CAPA (ээси/мөөнөтү)· N жумадан кийин натыйжалуулугун текшерүү.

13) Операциялар жана комплаенс менен интеграция

CAB/Change: коркунучтуу өзгөрүүлөр - Чип желектери/канарейка аркылуу гана; ар бир чыгарылышында - кайтаруу планы.
Маалыматтар жана отчеттуулук: инциденттердин дашбордддорун автоматтык түрдө чогултуу; KRIs менен байланыш (санкциялар/РЕР, KYC, CBR, АТО).
Тобокелдиктер: тобокелдиктер матрицасын жана реестрин жаңылоо, ар бир негизги окуядан кийин босоголорду калибрлөө.

14) Машыгуулар жана даярдык

Tabletop чейрек сайын бир жолу (PII агып, KYC баш тартуу, АТО-толкун, PSP-окуя).
Red/Blue/Purple-команда текшерүү; сатуучулар жана PSP менен биргелешкен машыгуу.
KPI даярдыгы: тренингден өткөн кызматкерлердин үлүшү; машыгуулардын ийгилиги; орточо убакыт "бридж көтөрүп".

15) Ишке ашыруунун жол картасы

1-2 жума: ролдорду/байланыштарды актуалдаштыруу, шаблондор, резервдик провайдерлер.
3-4 жума: SOAR playbook, бридж каналдар, сыноо эскертмелер, WORM архив.
Ай 2 +: үзгүлтүксүз машыгуулар, журналдарды текшерүү, инциденттер боюнча отчеттуулукту автоматташтыруу.

TL; DR

Даярдык = алдын ала макулдашылган ролдору жана босоголору + тез bridge + катуу containment + мыйзамдуу жана өз убагында билдирүүлөр + далилдердин чынжырчасы менен форензия + милдеттүү пост-мортемалар жана CAPA. Бул зыянды азайтат, айып тобокелдиктерди азайтат жана оюнчулардын жана өнөктөштөрдүн ишенимин бекемдейт.