SOC 2: коопсуздук критерийлери

1) SOC 2 кыскача

SOC 2 - уюмдун Trust Services Criteria (TSC) AICPA ылайык кантип долбоорлоо (Design) жана аткаруу (Operating) контролдоо көз карандысыз баа берүү.
iGamingде бул жөнгө салуучу органдардын/банктардын/PSP/өнөктөштөрдүн ишенимин жогорулатат жана TPRMди жөнөкөйлөтөт.

• Type I - бир заматта абал (белгилүү бир датага): туура иштелип чыккан контролдоо.
• Type II - мезгил ичинде (адатта, 6-12 ай.): туруктуу иш жүзүндө контролдоо (үлгүлөрү менен).

2) Trust Services Criteria (TSC) жана аларды кантип окуу керек

3) Башкаруу модели жана милдеттүү элементтери (Коопсуздук - CC)

Governance & Risk: МБ саясаты, тобокелдик реестри, максаттары, ролу/RACI, окутуу.
Access Control: RBAC/ABAC, SoD, JIT/PAM, сырсөздөр/МФА, SCIM/IGA, оффбординг ≤ 15 мин.
Change & SDLC: DevSecOps, SAST/DAST/DS, IaC-сканерлөө, CAB, деплой журналдары, кайтарымдар.
Logging & Мониторинг: борборлоштурулган Логи (WORM + кол), SIEM/SOAR, KRI боюнча Алерт.
Vuln & Patch: аныктоо/классификация жараяны, жогорку/Critical боюнча SLA, жайгаштыруу ырастоо.
Incident Response: playbook, RACI, war-room, postmortems жана CAPA.
Vendor/TPRM: due diligence, DPA/SLA, аудит укугу, сатуучу мониторинг.

4) Advanced критерийлери (A, C, PI, P)

Availability (A)

SLO/SLA жана дашборддор; DR/BCP (RTO/RPO), жылдык тесттер; кубаттуулугу/kross-аймак; жеткиликтүүлүгү боюнча инциденттердин процесси.

Confidentiality (C)

Маалыматтарды классификациялоо; on rest/in transit шифрлөө (KMS/HSM); PII токенизациялоо; экспортту контролдоо (кол тамга, журнал); retenshn.

Processing Integrity (PI)

Маалымат сапатын контролдоо: схемалар/валидация, дедупликация, reconciliation; милдеттерди ишке киргизүү контролдоо; пайплайндагы өзгөрүүлөрдү башкаруу.

Privacy (P)

Купуялык саясаты; RoPA/мыйзамдуу негиздер; СМР/макулдук; DPIA/DSAR; маскировка/retenshn; tracker аудит/SDK.

5) Mapping SOC 2 Сиздин саясат/көзөмөл

ISO 27001/ISMS → CC негизин камтыйт (тобокелдиктерди башкаруу, саясат, логи, алсыздык).
ISO 27701/PIMS → көптөгөн Privacy критерийлерин жабат.
Ички бөлүмдөрү: RBAC/Least Privilege, Сырсөз саясаты жана MFA, Логин саясаты, Окуялар, TPRM, DR/BCP - түздөн-түз TSC боюнча mappes.

6) контролдоо каталогу жана evidences мисалдар

Ар бир контролдоо үчүн: ID, максаты, ээси, жыштыгы, ыкмасы (авто/кол менен), далил булактары.

• 'SEC-ACCESS-01' - Башкаруу-жетүү боюнча MFA → IdP отчет, Screen жөндөөлөрү, Логин тандоо.
• 'SEC-IGA-02' - Offboarding ≤ 15 мин → SCIM Логи, бошотуу билеттери, блокировка журналы.
• 'SEC-LOG-05' - Өзгөрүлбөгөн журналдар (WORM) → Конфиги, хэш-чынжырлар, экспорттук үлгүлөр.
• 'AVAIL-DR-01' - Жылдык DR тест → тест протоколу, чыныгы RTO/RPO.
• 'CONF-ENC-03' - KMS/HSM ачкычтарды башкаруу → айлануу саясаты, KMS аудит.
• 'PI-DATA-02' - төлөмдөр боюнча Reconciliation → эсептешүүлөр отчеттор, окуялар, CAPA.
• 'PRIV-DSAR-01' - DSAR → суроо реестри боюнча SLA, таймштамптар, жооп шаблондору.

7) процедуралар (SOP) сактоо үчүн SOC 2

SOP-1 Окуялар: Detect → triage → containment → RCA → CAPA → отчет.
SOP-2 Өзгөрүүлөрдү башкаруу: PR → CI/CD → сканерлер → CAB → деплой → мониторинг → артка/фикстер.
SOP-3 алсыздыгы: intake → классификация → SLA → текшерүү fix → отчет чыгаруу.
SOP-4 Accessories: JML/IGA, чейректик кайра тастыктоо, SoD блоктору, JIT/PAM.
DR/BCP SOP-5: жылдык тесттер, жарым-жартылай машыгуулар, RTO/RPO фактыларын жарыялоо.
SOP-6 Экспорт/купуялык: ак тизмелер, кол/журнал, retenshn/алып салуу.

8) Аудит даярдоо: Type I → Type II

1. TSC Гэп-талдоо: каптоо матрица, жетишпеген контролдоо тизмеси.
2. Саясат жана жол-жоболор: актуалдаштыруу, ээлерин дайындоо.
3. Бирдиктүү evidence сактоо: Логи, IdP/SIEM отчеттор, билеттер, тандоо экспорттоо (кол менен).
4. Internal Readiness Audit: Explorer анкетасын басып өтүү, тандоолорду бекитүү.
5. Type I (Дата X): контролдоо дизайнын жана ишке киргизүү чындыгын көрсөтүү.
6. Байкоо мезгили (6-12 ай): экспонаттарды үзгүлтүксүз чогултуу, табылгаларды жабуу.
7. Type II: мезгил ичинде үлгүлөрүн камсыз кылуу, натыйжалуулугу жөнүндө отчет.

9) Metrics (KPI/KRI) үчүн SOC 2

• MFA adoption (админдер/сын ролдору) = 100%
• Offboarding TTR ≤ 15 мин
• Patch SLA High/Critical өз убагында 95% ≥ жабык
• DR-тесттер: план-графикти аткаруу = 100%, иш жүзүндө RTO/RPO нормалдуу
• Coverage Loging (WORM) ≥ 95% критикалык системалар

• 'purpose' = 0 жок PII кирүү
• SoD = 0 бузуулар
• Инциденттер регламенттерден кийин билдирилет = 0
• High/Critical> 5% кайталанган кемчиликтер - эскалация

10) RACI (кеңейтилген)

11) Чек-баракчалар

11. 1 Readiness (Type I алдында)

• Scope (TSC жана системалары) белгиленген
• Саясаттар/жол-жоболор актуалдуу жана бекитилген
• Дайындалган контролдоо жана метрика ээлери
• evidence сактоо прототиби даяр (Логи, IdP/SIEM отчеттор, билеттер)
• Таблетка окуя жана DR-мини-тест өткөрүлдү
• Тобокелдиктер жана SoD-матрица тастыкталган

11. 2 Байкоо мезгили (I жана II ортосунда)

• Жумалык жыйноо үлгүлөрү/реестрлерди экспорттоо
• Ай сайын KPI/KRI отчету
• SLA аялуу жабуу
• Чейректик кайра тастыктоо
• DR/BCP тест планына ылайык

11. 3 Type II алдында

• Мезгил ичинде evidence толук топтому (ар бир көзөмөл боюнча)
• Инциденттердин/алсыздыктардын жана CAPA реестри
• Отчет Management Review (мезгил жыйынтыгы)
• Жаңыртылган Mapping Matrix TSC Controls

12) Көп каталар жана аларды алдын алуу үчүн кантип

"Практикасы жок саясатчылар": каттоо баракчаларын, билеттерди, DR/инциденттердин протоколдорун көрсөтүү - документтер гана эмес.
алсыз Логин: WORM/кол жана так семантика окуялар аудит кыйын жок.
Укуктарды кайра сертификациялоо жок: "асма" кирүү коркунучу - критикалык минус.
Толук эмес Scope сатуучулар: SOC 2 чынжыр көрүп - TPRM кошуу, DPA/SLA, аудит укугу.
Бир жолку көнүмүш: SSM/dashboard жана айлык отчет киргизүү.

13) Жол картасы (12-16 жума → Type I, дагы 6-12 ай. → Type II)

Жумалар 1-2: Гэп талдоо TSC, Scope, ээлери, иш планы.
Жумалар 3-4: саясатты/жол-жоболорду жаңыртуу, контролдук каталогун жана mapping матрицасын чогултуу.
Жума 5-6: орнотуу Логи (WORM/кол), SIEM/SOAR, алсыздык/SLA тактар, IdP/MFA, IGA/JML.
Жумалар 7-8: DR/BCP минималдуу тесттер, TPRM-Updates (DPA/SLA), окуя репетиция.
Жума 9-10: evidence-сактоо, отчет KPI/KRI, ички readiness-аудит.
Жумалар 11-12: акыркы түзөтүүлөр, аудитордун брони, Type I.
Кийинки: артефакттарды жумалык чогултуу, чейректик ревю → Type II мезгил аяктагандан кийин.

TL; DR

SOC 2 = ачык Scope TSC → ээлери жана көрсөткүчтөр менен контролдоо каталогу → evidence боюнча Design & Operating → үзгүлтүксүз Логи/SIEM/IGA/DR/TPRM → Readiness → Type I → байкоо мөөнөтү → Type II. кылгыла "демейки далилдөө" - жана аудит күтүүсүз өтөт.