Тобокелдиктердин реестри жана баалоо методологиясы

1) Эмне үчүн жана эмне реестрине кирет

Максаты: акча таасирин тийгизген тобокелдиктерди (GGR/CF), лицензияларды, оюнчуларды, маалыматтарды жана аброюн сүрөттөө, баалоо, артыкчылык берүү жана мониторинг жүргүзүүнүн бирдиктүү системасы.
Камтуусу: продукт/инженерия (SDLC/окуялар), каржы жана төлөмдөр (PSP/корутундулар), KYC/AML/санкциялар, купуялык (GDPR), TPRM/сатуучулар, маркетинг/SDK, маалыматтар (DWH/BI), инфраструктура/булуттар/DR, саппорт жана VIP операциялары.

2) Тобокелдиктердин таксономиясы (мисал)

Маалымат коопсуздугу жана купуялуулук: PII/KYC агып, уруксатсыз кирүү, логин ийгиликсиз, DSAR-Fail.
Жөнгө салуучу/комплаенс: лицензиялардын шарттарын бузуу, AML/KYC/санкциялар, жарнамалык тыюу салуулар.
Операциялык/технологиялык: PSP/KYC downtime, релиз кемчилиги, latency деградациясы, DR инциденттери.
Алдамчылык/кыянаттык: фрод-депозиттер, бонустук абуз, төлөм кол үлгүлөрү.
Каржылык: өнөктөштөрдүн ликвиддүүлүгү, chargeback-шок, бир PSP боюнча топтолуу.
Vendor/жеткирүү чынжыр: аялуу SDK, төмөнкү TOMs менен субпроцессорлор.
Абройлуу/кардар: даттануулардын өсүшү, NPS күзүндө, RG бузуулар.
Стратегиялык/геосаясий: санкциялар, салыктарды/мыйзамдарды өзгөртүү, трафикке бөгөт коюу.

3) Тобокелдик карточкасы (милдеттүү талаалар)

ID/Тобокелдик аталышы

Категория (таксономиядан)

Окуянын сүрөттөлүшү (эмне болушу мүмкүн) жана себептери

Таасир эткен активдер/процесстер/юрисдикциялар

Тобокелдик ээси (Risk Owner) жана куратор (Sponsor)

Колдо болгон контролдуктар (алдын алуу/детективдик/оңдоо)

Ыктымалдуулук (P) жана таасири (I) чейин контролдоо (inherent)

Көзөмөлдөн кийинки калдык тобокелдик (residual)

Дарылоо планы (treatment): азайтуу/качуу/кабыл алуу/өткөрүп берүү

Эскалация босогосу/коркунуч деңгээли (Low/Medium/High/Critical)

KRIs жана триггерлер, метрика жана маалымат булактары

Статус жана мөөнөтү (Next Review), байланыштуу SARA/билеттер

Контролдук реестри (контролдук ID) жана саясатчылар менен байланыш

Аудитордун/комитеттердин комментарийлери (акыркы чечимдер)

4) баалоо шкаласы (демейки 5 × 5)

4. 1 Ыктымалдуулук (P)

1 - Сейрек (<1/5 жыл)

2 - Төмөн (1/2-5 жыл)

3 - Орточо (жыл сайын)

4 - Жогорку (чейрек)

5 - абдан жогорку (ай/көп)

4. 2 таасир (I) - бутактарынын максималдуу тандоо

Каржы: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Купуялык/маалыматтар: 1: <1k жазуулар·...· 5:> 1M жазуулар/атайын категориялар

Жөнгө салуучу/лицензиялар: 1: эскертүү· 3: айып/текшерүү· 5: лицензияны токтотуу

Жеткиликтүүлүк (SLO/SLA): 1: <15 мин·...· 5:> Критикалык зоналар үчүн 8 саат

жыйынтыктоочу балл: 'R = P × I' → деңгээл: 1-5 төмөн, 6-10 орто, 12-16 жогорку, 20-25 оор.

(Босоголор компанияга ылайыкташтырылышы мүмкүн.)

5) Matrix жылуулук карта жана тобокелдик табити

Risk Appetite: домендердин уруксаты бар документ (мисалы, PII агып - нөл толеранттуулук; downtime P95 - ≤ X мин/ай; chargeback rate — ≤ Y%).
Heatmap: 5 × 5 боюнча R көрүү; аппетит жогору - CAPA планын жана мөөнөттөрүн талап кылат.
Risk Budget: негиздемеси менен "кабыл алынган" тобокелдиктерге квота (экономикалык максатка ылайыктуулугу).

6) Баалоо методологиясы

6. 1 Сапаттуу (тез баштоо)

Эксперттик баа P/I + негиздемеси, окуя тарыхы жана KRIs маалыматтар менен салыштыруу.

6. 2 сандык (Top-10 үчүн артыкчылыктуу)

FAIR ыкмасы (жөнөкөйлөштүрүлгөн): окуялардын жыштыгы × зыяндын ыктымалдыгын бөлүштүрүү (P10/P50/P90); төмөндөтүү варианттарын салыштыруу үчүн пайдалуу.
Monte Carlo (1000-10k прогондор): зыян жана жыштык өзгөрмөлүүлүгү → жоготуу Exceedance Curve (жоготуу ыктымалдыгы> X).
TRA (Targeted Risk Analysis): мониторинг/контролдоо жыштыктарын тандоо үчүн чекиттик талдоо (PCI/сатуучулар үчүн тиешелүү).

7) KRIs жана булактары

• Жеткиликтүүлүк/иш: MTTR, каталар 5xx, P95 latency, инциденттер P1/P2,% автоскейлер, кластердин сыйымдуулугу.
• Коопсуздук/купуялуулук:% MFA coverage, credential stuffing аракети, адаттан тыш экспорттор, DSAR SLA, anti-malvar желектери.
• Төлөмдөр: PSP боюнча auth rate, chargeback rate, банктын баш тартуусу, кол менен кассауттардын үлүшү.
• KYC/AML: TAT, false positive rate, санкциялык хиттер, эскалациялардын үлүшү.
• Сатуучулар: SLA compliance, жашыруун сүрүлүү, инциденттердин жыштыгы, сертификаттардын актуалдуулугу.

KRIs тобокелдиктер менен байланышып, босогодон чыкканда эскалацияларды баштайт.

8) Өмүр тобокелдик айлампасы (workflow)

1. Идентификация → картаны каттоо.
2. Баалоо (inherent) → mapping контролдоо → residual баалоо.
3. Дарылоо боюнча чечим (treatment) жана CAPA планы (даталар/ээлери).
4. KRIs/инциденттерди көзөмөлдөө, картаны жаңыртуу.
5. Чейректик тобокелдик комитети: Top-N кайра карап чыгуу, табитти кайра белгилөө.
6. Жабуу/консолидациялоо же байкоого которуу (watchlist).

9) Контролдоо жана аудит менен байланыш

• Алдын алуу: RBAC/ABAC, SoD, лимиттер, шифрлөө, WebAuthn, сегменттөө.
• Detective: SIEM/Алерт, салыштыруу, WORM-Логи, UEBA.
• Оңдоочу: кайтарымдар, төлөмдөрдү бөгөттөө, ачкычтарды чакыртып алуу, шашылыш тактар.
• DE/OE аудитинде контролдуктар табитке чейин тобокелдикти азайтат жана туруктуу иштейт деп текшерилет.

10) Карта үлгүлөрү (YAML, фрагменттер)

10. 1 Vendor SDK аркылуу PII агып (Tier-1)

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP деградациясы: төлөмдөрдү авторизациялоонун ишке ашпай калышы

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Агрегациялоо жана портфелдик башкаруу

Top-N (Risk Register View): residual R жана "табиттен жогору" сорттоо.
Темалар (Risk Themes): кластерлер (сатуучулар, купуялык, PSP) → темалардын ээлери.
Өз ара көз карандылык карталары: тобокелдик, контролдук, соодагерлер, процесстер.
Сценарийлер жана стресс-тесттер: "PSP # 1 жана KYC # 1 2 саат иштебесе?" - жалпы зыянды баалоо жана иш-аракеттер планы.
LEC (Loss Exceedance Curve): Кеңеш/Бард үчүн жылдык жоготуу кароо.

12) Эскалация босоголору жана сигналдар

Оперативдүү: SLO/SLA бузуулар → Incident P1/P2.
Compliance/Privacy: ашыкча retenshn, DSAR ийгиликсиздик, экспорт жок 'purpose' → токтоосуз DPO/Юридикалык эскалация.
Vendor: кайталап SLA үзгүлтүккө → CAPA жеткирүүчү, келишимди кайра карап чыгуу.
Financial: чыгуу chargeback> босого → кол менен текшерүү, чеги/бонустарды тууралоо.

13) RACI (кеңейтилген)

14) Метрика (KPI/KRI) тобокелдиктерди башкаруу системасы

Coverage: 100% маанилүү процесстер катталган тобокелдиктерге жана ээлерине ээ.
On-time Review: ≥ 95% карталар өз убагында каралат.
Above Appetite: ↓ QoQ тобокелдик үлүшү табиттин жогору.
CAPA Closure (High/Critical): ≥ 95% убагында.
Detection Lag: KRIден эскалацияга чейинки убакыттын медианы (↓ умтулат).
Incident Recurrence: бир себептерден улам кайталанган окуялар - 0.

15) Чек баракчалары

15. 1 карта түзүү

• Категория жана окуянын/себептердин баяндамасы
• Активдер/процесстер/юрисдикциялар белгиленген
• P/I (inherent) жана residual негиздемеси менен бааланган
• Mapping контролдоо (ID), KRIs жана маалымат булактары
• SARA планы/мөөнөттөрү/ээлери
• Эскалация босогосу жана коркунучтардын деңгээли

15. 2 Кварталдык комитет

• Top 10 residual жана жогору табити
• Жаңы/эмерджент-тобокелдиктер, мыйзамдарды/сатуучуларды өзгөртүү
• CAPA статусу жана кечигүү
• Чечимдер: кабыл алуу/азайтуу/өткөрүп берүү/качуу; табитти/босоголорду жаңыртуу

16) Жол картасы киргизүү (4-6 жума)

Жумалар 1-2: таксономияны, шкаланы, табитти бекитүү; куралды тандоо (таблица/BI/IRM). Критикалык процесстер боюнча 10-15 старттык карталарды түзүү.
Жумалар 3-4: тобокелдиктерди контролдоо жана KRIs менен байланыштыруу; жылуулук картасын/dashboard куруу; тобокелдиктер боюнча комитетти ишке киргизүү.
Жума 5-6: Top-5 үчүн сандык баа киргизүү (FAIR/Monte Carlo light), жыйноо KRIs автоматташтыруу, эскалация жана отчеттуулукту бурмалоо.

17) Байланыштуу wiki бөлүмдөрү

Ички контролдоо жана алардын аудит, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM жана SLA, Окуялар жана агып, DR/BCP, Логин жана WORM саясаты - толук цикл үчүн "тобокелдик → көзөмөлдөө → метрика → далил".

TL; DR

Жумушчу тобокелдик реестри = так таксономия + стандартташтырылган шкалалар + табит/босоголор → ээлери менен карталар, контролдоолор жана KRIs → жылуулук картасы жана комитеттер → жогорку тобокелдиктер жана убагында CAPA үчүн артыкчылыктуу сандык баа. Бул тобокелдиктерди башкарууга, салыштырууга жана жөнгө салуучу органдарга далилдөөгө мүмкүндүк берет.