Аудиторлық журналдар және кіру іздері
1) Мақсаты және қолдану саласы
Мақсаты: пайдаланушылардың/сервистердің іс-әрекеттерінің дәлелденуін, тексерулердің ашықтығын, реттеуіштер мен ішкі стандарттардың (GDPR/AML, PSP/KYC-провайдерлермен, ISO/PCI-мен шарттар қолдану кезінде) талаптарына сәйкестігін қамтамасыз ету.
Қамту: барлық прод-жүйелер, платформалық сервистер (аккаунт, төлемдер, антифрод, ҚҰС/санкциялар, RG), әкімшілік панельдер, API-шлюздер, DWH/BI, инфрақұрылым (K8s/бұлт), вендорлармен интеграциялар.
2) Не логикалау керек (оқиғалар класы)
1. Сәйкестендіру және қол жеткізу: логин/логаут, MFA, құпия сөздерді/кілттерді ауыстыру, SSO, «break-glass» қол жеткізу.
2. Әкімшілік іс-әрекеттер: рөлдердің/құқықтардың, конфигурациялардың, антифрод/санкциялар ережелерінің, фича-жалаулардың өзгеруі.
3. PII/қаржы деректерімен операциялар: оқу/экспорттау/жою, түсіру, KYC қатынау, VIP-профильдерді қарау.
4. Транзакциялар және ақша: кэш-ауттар/депозиттер, күшін жою, қайтару, чарджбектер бойынша шешімдер.
5. Комплаенс/AML/KYC: скрининг нәтижелері (санкциялар/PEP/Adverse Media), шешімдер (TP/FP), EDD/STR/SAR.
6. Инциденттер және қауіпсіздік: эскалация, WAF/IDS ережелерін өзгерту, сервистерді оқшаулау, құпияларды ротациялау.
7. Интеграциялар/вендорлар: API шақырулары, қателер, таймауттар, экспорт, деректерді жою/қайтаруды растау.
3) Оқиғаның міндетті өрістері (ең аз)
`event_id` (UUID), `ts_utc`, `ts_local`, `source_service`, `trace_id`/`span_id`
'actor _ type' (user/service/vendor), 'actor _ id' (тұрақты идентификатор), 'actor _ org' (егер B2B болса)
`subject_type` (account/tx/document/dataset), `subject_id`
`action` (e. g., `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `WITHDRAWAL_APPROVE`)
`result` (success/deny/error) и `reason`/`error_code`
'ip', 'device _ fingerprint', 'geo' (ел/өңір), 'auth _ context' (MFA/SSO)
'fields _ accessed '/' scope' (PII/финдермен жұмыс істегенде) - бүркемеленіп
'purpose '/' ticket _ id' (негізі: DSAR, инцидент, реттегіш сұрауы, операциялық тапсырма)
4) Өзгермейтіндігі және дәлелденетіндігі
«Алтын» көшірме үшін WORM-сақтау орны (immutable buckets/retention policies).
Крипто қолтаңба/хэш-тізбегі: түрлендірулерді анықтау үшін оқиғалар бумасына мерзімді қол қою және/немесе хэштер тізбегін құру (hash chaining).
Схемаларды/ережелерді өзгерту журналы: схемаларды және логикалау саясатын нұсқалаймыз; кез келген түзетулерден CAB өтеді.
Екі контурлы сақтау: жедел индекс (іздеу) + мұрағат/immutability.
5) Уақытты синхрондау және трассалау
Барлық орталарда бірыңғай NTP/Chrony; логтарда - 'ts _ utc' ақиқат көзі ретінде.
Әрбір журналға - 'trace _ id '/' span _ id' сұрау салуларды толассыз трассалау үшін (сервистер, вендорлар және фронт арасындағы корреляция).
6) Құпиялылық және құпиялар
Тыйым салынған: парольдер, PAN/CSC толық белгілер, құжаттардың толық нөмірлері, «шикі» биометрия.
Әдепкі бүркемелеу: e-mail/телефон/IBAN/PAN → белгілер/ішінара көрсету.
Бүркеншік атау: 'user _ id' → талдаудағы тұрақты токен; шынайы ID байланысы - тек қорғалған контурда.
DSAR-үйлесімділігі: бөгде PII ашпастан субъект бойынша логтарды іріктеп алу мүмкіндігі.
7) Сақтау мерзімдері және деңгейлері (ретеншн)
8) Қол жеткізу және бақылау (RBAC/ABAC)
Аудиторлық логтарды оқу рөлдері әкімшілік рөлдерінен бөлек.
MFA және Just-in-Time қол жеткізу (break-glass) себептерін автоматты түрде қайтарып алу/логикалау арқылы.
«Минимум» саясаты: PII/қаржы деректерінің өрістеріне тек қажеттілігіне қарай және 'purpose' деген белгілеумен қол жеткізу.
Экспорт/түсіру: адресаттар мен форматтардың ақ тізімдері; міндетті қолы/хэш, түсіру журналы.
9) SIEM/SOAR/ETL-мен интеграциялау
Audit-оқиғалар ағыны байланыстыру үшін SIEM-ге түседі (е. g., жаппай 'READ _ PII' + жаңа құрылғыдан кіру).
SOAR-плейбуктер: саясаттың бұзылуы кезіндегі авто-тикеттер (жоқ 'purpose', аномальды көлем, терезеден тыс кіру).
ETL/DWH: «audit _ access», «pii _ exports», «admin _ changes» сөрелері сапаны бақылаумен және схемалардың нұсқасымен.
10) Деректер сапасы және валидаторлар
Код ретінде схемалар (JSON/Protobuf/Euro): міндетті өрістер, үлгілер, сөздіктер; CI-валидаторлар.
Сызба қателері бар оқиғалар үшін ақау және quarantine-кезек; ақау өлшемдері.
'(event_id, trace_id, ts)' бойынша дедупликация/сәйкестік; қайта жіберуді бақылау.
11) RACI
12) SOP: Деректерге қолжетімділікті тексеру
1. Триггер: SIEM (аномальды 'READ _ PII '/экспорт), шағым, вендордың сигналы.
2. Артефакттарды жинау: 'actor _ id '/' subject _ id '/' trace _ id' бойынша оқиғаларды түсіру, 'purpose' журналы, ілеспе логтар (WAF/IdP).
3. Заңдылықты тексеру: негіздің (DSAR/инцидент/қызметтік міндет), келісудің, қол жеткізу терезелерінің болуы.
4. Әсер етуді бағалау: көлемі/PII санаты, юрисдикция, субъектілерге тәуекел.
5. Шешім: инцидент-бридж (High/Critical кезінде), containment (рұқсаттарды қайтарып алу, кілттерді ротациялау).
6. Есеп және CAPA: себептер, бұзылған саясат, шаралар (бүркемелеу, оқыту, RBAC өзгерістері), мерзімдер.
13) SOP: Деректер экспорты (реттеуші/серіктес/DSAR)
1. Сұрау → негізін және жеке басын тексеру (DSAR үшін) → DWH сұрау қалыптастыру.
2. Әдепкі иесіздендіру/азайту; PII-ні тек құқықтық негізде енгізу.
3. Түсіру генерациясы (CSV/JSON/Parquet) → қолтаңба/хэш → түсіру журналына жазба (кім/қашан/не/кімге/негіз).
4. Бекітілген арна арқылы жіберу (sFTP/Secure link); көшірмесін сақтау мерзімі - саясат бойынша.
5. Пост-бақылау: уақытша файлдарды алуды растау, жою.
14) Метрика және KRIs/KPIs
Coverage: audit-оқиғаларды жіберетін сындарлы жүйелердің үлесі ≥ 95%.
DQ қателері: валидатор қабылдамаған оқиғалар, ≤ 0. ағынның 5%.
MTTD ағын жоғалту: ≤ 15 мин (тыныштық кезінде алерт).
'purpose': = 0 (KRI).
Тергеуге жауап беру уақыты: медиана 4 сағат 24 сағат.
Қолы/хэштері бар экспорт: 100%.
Ретеншті сақтау: жою/мұрағаттар 99% ≥ мерзімде.
15) Вендорлар мен субпроцессорларға қойылатын талаптар
DPA/SLA: audit-логтардың сипаттамасы (схемалар, мерзімдер, география, экспорт форматы), WORM/immutability, SLA оқиғалар туралы хабарламалар.
Вендордың қол жетімділігі: аталған сервистік есептік жазбалар, олардың іс-қимыл журналдары, ішінара аудит мүмкіндігі.
Оффбординг: кілттерді қайтарып алу, журналдарды экспорттау/жою, жабу актісі, бэкаптарды жоюды растау.
16) Қауіпсіздік және манипуляциялардан қорғау
Рөлдерді бөлу: дереккөз әкімшісі ≠ қойма әкімшісі ≠ аудитор.
Компоненттер арасындағы агенттердің/коллекторлардың, mTLS қолы.
Анти-tamper бақылау: хэштерді салыстыру, тұтастықты тұрақты тексеру, алерта айырмашылықтары.
WORM көшірмелерін гео-репликалау және тұрақты қалпына келтіру тестілері.
17) Типтік қателер және қарсы үлгілер
Сезімтал мәндерді логикалау (PAN/құпия) → дереу redaction-middleware қосу.
PII қатынасқанда 'purpose '/' ticket _ id' болмауы.
«Жұмыс үстеліне» жергілікті түсіру және e-mail арқылы жіберу.
Бірыңғай схеманың және валидацияның болмауы → «мылқау» өрістер, корреляцияның мүмкін еместігі.
Адамға немесе қызметке байланыссыз бірыңғай супер-аккаунт.
18) Чек парақтары
18. 1 Саясатты іске қосу/жаңарту
- Сызбалар мен сөздіктер бекітілді; міндетті өрістер қосылған
- Бүркемелеу және құпияларға тыйым салу қосылған
- NTP теңшелген, 'trace _ id' барлық жерде
- Hot/Warm/Cold/WORM қабаттары
- RBAC/ABAC және break-glass ресімделген
- SIEM/SOAR интеграцияланған, тәуекелдер сыналған
18. 2 Ай сайынғы аудит
- Экспорттың іріктемесі: қолтаңбалар/журналдар дұрыс
- Ретеншті/өшіруді тексеру/Legal Hold
- DQ-метрика қалыпты, quarantine талдау
- Вендорлық логтар қол жетімді/толық
19) Енгізу жол картасы
1-2 апталар: жүйелерді түгендеу, схемалар мен міндетті өрістерді келісу, уақыт пен трассировканы баптау.
3-4 апта: бүркемелеу, WORM қабатын қосу, SIEM/SOAR-мен интеграциялау, экспорт журналдарын іске қосу.
2-ай: валидаторларды/алерттерді автоматтандыру, тексеру плейбуктері, командаларды оқыту.
3 + айы: тұрақты аудиттер, тұтастық стресс-тестілері, құнды оңтайландыру (tiering), вендорларды/шарттарды тексеру.
TL; DR
Күшті аудиторлық журналдар = толық және құрылымдалған оқиғалар + immutability (WORM) және қолтаңбалар + PII бүркемелеу + қатаң кіру және түсіру журналы + SIEM/SOAR-мен интеграция. Бұл тергеуді жеделдетеді, тәуекелдерді төмендетеді және комплаенсті дәлелдеуге болады.