Коопсуздук жана комплаенс сертификаттары

Эмне үчүн керек

Сертификаттар жана аттестациялар жетилген коопсуздук практикасын тастыктайт жана жөнгө салынуучу рынокторго жана өнөктөштөргө кирүү мүмкүнчүлүгүн ачып, сатуу циклин (due diligence) кыскартат. Ачкыч - "аудиттен бир жолу өтүү" эмес, өлчөнгөн контролдук пункттары менен үзгүлтүксүз башкаруу системасын куруу.

Ландшафт картасы (эмнени жана качан тандоо керек)

ISO/IEC 27001 - маалыматтык коопсуздук башкаруу системасы (ISMS). Процесстердин универсалдуу "скелети".

Толуктоолор: ISO 27017 (булут), 27018 (булуттагы privacy), 27701 (PIMS, купуялык), 22301 (BCMS, туруктуулук).
SOC 2 (AICPA): Type I (датасы боюнча дизайн) жана Type II (дизайн + мезгил ичинде иштөө натыйжалуулугу, адатта, 3-12 ай.). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (карталарды иштетүү үчүн): операциялардын көлөмү боюнча деңгээлдер, QSA катышкан ROC/AOC, чейректик ASV сканерлери, пентесттер жана CHD зоналарынын сегментациясы.
CSA STAR (деңгээл 1-3): булут кызмат көрсөтүүчүлөр үчүн декларация/аудит.
Кошумча домендер боюнча: ISO 20000 (ITSM), ISO 31000 (тобокелдик-менеджмент), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (тармактык/каржы).
GDPR/купуялык: "GDPR сертификаты" жок; ISO 27701 жана көз карандысыз баа/жүрүм-турум кодекстер колдонулат.

💡 Тандоо эрежеси: B2B SaaS/fintech → ISO 27001 + SOC 2 түрү II; төлөм агымдары/карталар → PCI DSS; PII → 27701 менен тыгыз иштөө; булут-фокус → 27017/27018/CSA STAR.

Аттестация vs аттестация

Сертификация (ISO): аккредиттелген орган жылдык көзөмөл аудиттери менен 3 жылдык сертификат берет.
Аттестация (SOC 2): көз карандысыз аудитор мезгил үчүн отчетту (opinion) чыгарат; документ Сиз NDA боюнча кардарларга берет.
PCI DSS: ROC (Report on Compliance) жана AOC (Attestation of Compliance), же SAQ азыраак көлөмдөр үчүн тастыкталат.

Skope: чек араны кантип сызуу керек

1. Активдер жана процесстер: продуктылар, чөйрөлөр (prod/stage), региондор, дата-класстар (PII/финансы/карталар).
2. Техникалык архитектура: булут, VPC/VNet, Kubernetes, CI/CD, жашыруун башкаруу, DWH/аналитика.
3. Уюштуруу зоналары: кеңселер/алыстан иштөө, подрядчылар, аутсорс-колдоо.
4. Жөнөтүүчүлөр (third parties): PSP, мазмун провайдерлери, KYC/AML, булуттар - биргелешкен жоопкерчилик модели.
5. Өзгөчөлүктөр: эмне үчүн сатып алуудан тышкары, жана компенсациялык чаралар.

"Биринчи төш белгиге" жол картасы

1. Gap-талдоо каршы максаттар (27001/SOC 2/PCI).
2. Тобокелдик-менеджмент: ыкма, тобокелдик реестри, иштеп чыгуу планы, Statement of Applicability (ISO).
3. Саясат жана ролдору: МБ/купуялык саясаты, маалыматтарды классификациялоо, жеткиликтүүлүк (IAM), логика, жооп берүү, BCM/DR.
4. Техникалык көзөмөл: шифрлөө, тармактар (WAF/WAAP, DDoS), алсыздык/тактар, коопсуз SDLC, backup, мониторинг.
5. Далил базасы: регламенттер, журналдар, скриншоттор, жүктөмөлөр, билеттер - биз версиялуу сактайбыз.
6. Ички аудит/Readiness-баалоо.
7. Тышкы аудит: этап 1 (док-ревю) → этап 2 (натыйжалуулук/сэмплер). SOC 2 Type II үчүн - "байкоо мезгили".
8. Control/колдоо: чейректик контролдук текшерүүлөр, жылдык көзөмөл аудиттери (ISO), жылдык SOC жаңыртуу 2.

Контролдук салыштыруу матрицасы (үлгү фрагменти)

Домендер	ISO 27001 Annex A	SOC 2 TSC	PCI DSS	Контролдун түрү/артефакт
Жеткиликтүүлүктү башкаруу	A.5, A.9	CC6. x	7, 8	RBAC/ABAC, JML, SCIM Логи, revue укугу
Шифрлөө	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS, негизги саясат
Кемчиликтер/тактар	A.12, A.14	CC7. x	6, 11. 3	Scan, MTTP, Pentest отчеттор, ASV
Логи/мониторинг	A.5, A.8, A.12	CC7. x	10	SIEM/SOC, retenshn, alerty жана RCA
BCM/DR	A.5, A.17	A1. x	12	22301-пландар, DR тест натыйжалары

Аудитор эмнени көрсөтөт (типтүү суроолор)

Accessories: IdP/IAM отчеттор, JML Логи, Review артыкчылыктары.
Secrets: KMS/Vault саясаты, айлануу тарыхы.
Кемчиликтерди сканерлөө: акыркы отчеттор, ремедиация билеттери, MTTP мөөнөттөрү.
Журналдар/алерттер: инциденттердин учурлары, MTTD/MTTR, пост-морттор.
Жөнөтүүчүлөр: реестр, DPIA/DTIA (PII болсо), келишимдик чаралар, тобокелдиктерди баалоо.
Окутуу жана тесттер: фишинг симуляциялары, IT тренингдери, тастыктоолор.
BC/DR: акыркы машыгуулардын натыйжалары, RTO/RPO фактылары.

Үзгүлтүксүз контролдоо (Continuous Compliance)

Саясат-as-Code: OPA/Gatekeeper/Kyverno деплойлор үчүн; "Enforce" критикалык эрежелер боюнча.
Continuous Control Monitoring (CCM): ар бир N мүнөт/саат текшерүү (бакет шифрлөө, ачык порттор, MFA-coverage).
GRC системасы: контролдоо реестри, ээлери, милдеттери жана мөөнөттөрү, метрика байлап.
Бирдиктүү артефакт-хаб: "далилдер" (evidence) версияланат жана контролдук чекит менен белгиленет.
Отчеттордун автогенерациясы: SoA, Risk Register, Control Effectiveness, KPI/SLO Control.

Метрика жана SLO үчүн комплаенс

Coverage:% Automatic текшерүү менен контролдоолор;% сатып активдер.
жооп убактысы: p95 аудитордук суроо-жабуу ≤ 5 жумушчу күн.
Ишенимдүүлүк: "башкаруу жашыл зонада эмес" ≤ айына 1% убакыт.
Кемчиликтери: MTTP P1 ≤ 48 саат, P2 ≤ 7 күн; Пентест-ремедиация ≤ 30 күн.
IB окутуу: персоналды камтуу ≥ 98%, мезгилдүүлүгү 12 ай.

булут жана Kubernetes үчүн өзгөчөлүктөрү

Булут: ресурстарды инвентаризациялоо (IaC), "дискте "/" каналда" шифрлөө, журналдоо (CloudTrail/Activity Logs), минималдуу ролдор. "Мурас" коргоонун бир бөлүгү катары провайдерлердин сертификациялык отчетторун (SOC 2, ISO, PCI) колдонуңуз.
Kubernetes: namespace боюнча RBAC, Admission-policies (сүрөт кол тамгалар/SBOM, тыюу ': latest'), тармактык саясатчылар, etcd сырлары (KMS), API-сервер аудити, сүрөттөр/кластерлер үчүн сканерлөө профилдери.
Тармактар жана периметри: WAF/WAAP, DDoS, сегментация, ZTNA ордуна "кенен" VPN.

PCI DSS (төлөм чөйрөлөрү үчүн тактоо)

CHD-зонанын сегментациясы: минималдуу системалар; mTLS PSP; vebhuky - HMAC менен.
Чейректик ASV сканерлери жана жылдык пентесттер (анын ичинде сегментация).
Логи жана бүтүндүгү: FIM, өзгөрүлбөс журналдар, "басып чыгаруу убактысы" (NTP).
Документтер: Саясат, Карта маалыматтар агымынын диаграммалары, AOC/ROC, окуя жол-жоболору.

Купуялык (ISO 27701 + GDPR-мамиле)

Ролдору: контролер/процессор, иштеп чыгуу реестри, укуктук негиздер.
DPIA/DTIA: купуялык жана трансчегаралык берүү тобокелдиктерин баалоо.
Субъекттердин укуктары: жооптор боюнча SLA, издөө/алып салуунун техникалык каражаттары.
минималдаштыруу/псевдонимизациялоо: архитектуралык үлгүлөр жана DLP.

Artefacts (даяр үлгүлөрү - "колунда" кармап)

Statement of Applicability (SoA) Annex A.
Control Matrix (ISO, SOC2, PCI) ээлери жана далилдер менен.
Тобокелдик каттоо ыкмасы (impact/likelihood) жана иштетүү планы менен.
BC/DR пландары + акыркы машыгуу протоколдору.
Secure SDLC пакети: чек барактар review, SAST/DAST отчеттор, deploi саясаты.
Supplier Due Diligence: анкеталар (SIG Lite/CAIQ), тобокелдиктерди баалоо, келишимдик чаралар.

Көп каталар

"Аудит үчүн аудит": тирүү процесстер жок, саясатчылар менен папкалар гана.
Өтө кенен капкак: кымбат жана колдоо татаалдаштырат; "баалуулуктун өзөгүнөн" баштаңыз.
Кол менен далилдерди чогултуу: жогорку операциялык карыз; CCM жана разгрузка автоматташтырылган.
Метрикасыз контролдоо: башкаруу мүмкүн эмес (SLO/ээлери жок).
Унутулган пост-тастыктоо режими: эч кандай чейрек текшерүүлөр → көзөмөлдөө боюнча күтүүсүз.
Контурдан тышкаркы подрядчылар: үчүнчү тараптар аудитте инциденттердин булагы жана "кызыл карта" болуп калат.

Даярдык тизмеси (кыскартылган)

Аныкталган бүтүм, каражаттар, ээлери; маалыматтар жана агымдардын картасы.
Тобокелдик реестри, SoA (ISO үчүн), Trust Services Criteria (SOC үчүн 2) контролдоо боюнча бөлүнгөн.
Саясат, жол-жоболор, персоналды окутуу аткарылган жана актуалдуу болуп саналат.
Controls Automated (CCM), дашборддор жана Alert туташтырылган.
Ар бир көзөмөл боюнча далилдер чогултулган/версияланган.
ички аудит жүргүзүлгөн/Readiness; маанилүү ажырымдар жоюлду.
Аудитор/орган дайындалган, байкоо мөөнөтү макулдашылган (SOC 2) же этап планы 1/2 (ISO).
Pentest/ASV сайтында (PCI), ремедиация планы жана фикстер ырастоо.

Mini үлгүлөрү

Контролдоо үчүн метрика саясаты (мисал)

Control: "PII менен бардык бакеттер KMS тарабынан шифрленген".
SLI: шифрлөө менен% бакет.
Максаты: ≥ 99. 9%.
Alert: кулаганда <99. 9% 15 мүнөттөн ашык → P2, ээси - Head of Platform.

Далилдердин журналы (фрагмент)

Контролдоо	Далил	Жыштык	Сактоо	Жооптуу
PII кирүү логикасы	90 күндүн ичинде SIEM экспорттоо	Ай сайын	GRC/Evidence Hub	SOC Lead
Сырларды айлантуу	Vault audit log + change ticket	Жума сайын	GRC	DevOps Lead

iGaming/Fintech үчүн өзгөчөлүктөрү

Жогорку тобокелдик домендери: төлөмдөр/төлөмдөр, антифрод, бэкофис, өнөктөштүк интеграциясы - сатып алуу жана көзөмөлдөөдөгү артыкчылык.
Бизнес көрсөткүчтөрү: Убакыт-Кошелек, которуу reg → депозит - коргоо чараларынын жана аудиттердин таасирин эске алуу.
Регионалдуулук: ЕБ/ЛАТАМ/Азия талаптары - трансчек аралык берүүлөрдү эсепке алуу, жергиликтүү жөнгө салуучулар.
мазмун жөнөтүүчүлөр/PSP: милдеттүү due diligence, mTLS/HMAC, маалыматтар боюнча юридикалык кошумча макулдашуулар.

Жыйынтык

Сертификаттар - бул дисциплинанын жана автоматташтыруунун натыйжасы: тобокелдик-менеджмент, тирүү саясатчылар, өлчөнүүчү контролдор жана туруктуу даярдык. туура топтомун тандоо (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), бүдөмүк сызып, текшерүүлөрдү автоматташтыруу (CCM/Policy-as-Code), артефакттарды тартипте кармап, SLO өлчөө - ошентип, комплаенс алдын ала жана продукт өсүшүн колдойт, ал үчүн тормоз эмес.