Комплаенс пен есептілікті автоматтандыру

1) Комплаенсты автоматтандырудың қажеті

• Қол қателері мен сәйкестік құнын төмендету.
• Аудиторлар үшін ашықтық: трассаланатын артефактілер, өзгермейтін логтар.
• Ереже өзгерістеріне жылдам бейімделу.
• SDLC және пайдалануға кіріктірілген бақылау (shift-left + shift-right).

2) Сөздік және жақтау

Controls/Бақылаулар: тәуекелдерді төмендету үшін тексерілетін шаралар (алдын алу/детективтік/түзету).
Evidence/Дәлелдеу базасы: логтар, есептер, конфигурация дампалары, скриншоттар, CI/CD артефактілері.
GRC-платформа: тәуекелдер, бақылаулар, талаптар, міндеттер мен аудиттер тізілімі.
Compliance-as-Code (CaC): саясат/бақылау декларативтік сипатталған (YAML, Rego, OPA, Sentinel және т.б.).
RegOps: жеке функция ретінде SLO/алгоритмдермен талаптарды орындау.

3) Бақылау картасы (референс-матрица)

4) Автоматтандыру архитектурасы (референс)

1. Деректер көздері: өнімді ДБ/логи, DWH/даталейк, қол жеткізу жүйелері, CI/CD, бұлтты конфигалар, тикетинг, почта/чаттар (мұрағаттар).

2. Жинау және қалыпқа келтіру: «Compliance» витриналарына коннекторлар → оқиғалар шинасы (Kafka/Bus) және ETL/ELT.

3. Ережелер мен саясат (CaC): саясат репозиторийі (YAML/Rego), линтерлер, ревью, нұсқалау.

4. Анықтау және оркестрлеу: ережелер қозғалтқышы (stream/batch), тапсырмалар мен эскалациялар үшін SOAR/GRC.

5. Есеп беру және evidence: рег-пішім генераторлары, PDF/CSV, дашбордтар, өзгермейтін WORM мұрағаты.

6. Интерфейстер: Legal/Compliance/Аудит үшін порталдар, реттеуіштер үшін API (қол жетімді жерде).

5) Деректер мен оқиғалар ағыны (мысал)

Access Governance: оқиғалар «grant/revoke/role change» → ереже «артық артықшылықтар» → шот remediation → ай сайынғы attest есеп.
Ретенция/жою: TTL/жою оқиғалары → «саясаты бар рассинхронды» бақылау → алерт + қажет болған жағдайда Legal Hold бойынша блоктау.
AML-мониторинг: транзакциялар → ережелер қозғалтқышы және ML-сегментация → кейстер (SAR) → реттеуші форматқа жүктеу.
Осалдықтар/конфигурациялар: CI/CD → сканерлер → «харденинг саясаты» → мерзімі өткен ерекшеліктер бойынша есеп (waivers).

6) Compliance-as-Code: саясатты қалай сипаттау керек

• Анық кіретін/шығатын декларативті пішім (policy-as-code).
• Есептілікке әсер ететін нұсқалау + код-ревю (PR) + changelog.
• Саясат тестілері (unit/property-based) және ретро-прогонға арналған «құмсалғыш» ортасы.

yaml id: GDPR-Retention-001 title: "TTL for personal data - 24 months"
scope: ["db:users. pi", "s3://datalake/pi/"]
rule: "object. age_months <= 24          object. legal_hold == true"
evidence:
- query: retention_violations_last_24h. sql
- artifact: s3://evidence/retention/GDPR-Retention-001/dt={{ds}}
owners: ["DPO","DataPlatform"]
sla:
detect_minutes: 60 remediate_days: 7

7) Интеграция және жүйе

GRC: талаптардың, бақылаулардың, тәуекелдердің, иелерінің, тапсырмалар мен тексерулердің тізілімі.
IAM/IGA: рөлдер каталогы, SoD-ережелер, қолжетімділік кампаниялары.
CI/CD: gate-плагиндер (quality/compliance gates), SAST/DAST/Secret scan, OSS лицензиялары.
Cloud Security/IaC: Terraform/Kubernetes саясатқа сәйкестігін сканерлеу.
DLP/EDRM: сезімталдық белгілері, авто-шифрлау, эксфильтрациялауға тыйым салу.
SIEM/SOAR: оқиғаларды корреляциялау, бақылаудың бұзылуына ден қою плейбуктері.
Data Platform: «Compliance» витриналары, lineage, деректер каталогы, бүркемелеу.

8) Реттеушілік есептілік: типтік кейстер

GDPR: өңдеулер тізілімі (Art. 30), тосын оқиғалар бойынша есептер (Art. 33/34), DSAR бойынша KPI (мерзімдер/шығыс).
AML: SAR/STR есептері, триггерлер бойынша агрегаттар, кейстер бойынша шешімдер журналы, эскалация дәлелдері.
PCI DSS: сканерлеу есептері, желіні сегменттеу, карта деректері бар жүйелердің мүкәммалы, кілттерді бақылау.
SOC 2: бақылау матрицасы, растау журналы, конфигурацияның скриншоттары/логтары, бақылау тесттерінің нәтижелері.

Пішімдер: WORM мұрағатында қол қойылған және сақталған CSV/XBRL/XML/PDF.

9) Метрика және SLO комплаенс

Coverage: бақылауға қосылған жүйелердің үлесі (%).
MTTD/MTTR (бақылау): бұзушылықтарды анықтау/жоюдың орташа уақыты.
Детективтік ережелер бойынша False Positive Rate.
DSAR SLA:% мерзімінде жабылған; медиа жауап беру уақыты.
Access Hygiene: ескірген құқықтар%; toxic-комбинацияларды жабу уақыты.
Drift: айына теңшелім дрейфтерінің саны.
Audit Readiness: аудит үшін evidence жинау уақыты (мақсаты: сағат, апта емес).

10) Процестер (SOP) - талқылаудан практикаға

1. Discovery & Mapping: деректер/жүйелер картасы, сындылық, иелері, реттегіш байланыстар.
2. Дизайн саясаты: талаптарды ресімдеу → policy-as-code → тесттер → ревю.
3. Енгізу: ережелерді (staging → prod) өрістету, CI/CD және оқиғалар шинасына қосу.
4. Мониторинг: дашбордтар, алерттар, апталық/айлық есептер, бақылау комитеті.
5. Remediation: автоматты плейбуктер + мерзімі ұзартылған және RACI бар тикеттер.
6. Evidence & Audit: артефактілердің тұрақты снапшоты; сыртқы аудитке дайындық.
7. Өзгерістер: саясат, көші-қон нұсқаларын басқару, ескірген бақылауларды тоқтату.
8. Қайта бағалау: тиімділікті тоқсан сайын шолу, ережелер тюнингі және SLO.

11) Рөлдер және RACI

12) Дашбордтар (ең аз жиынтық)

Compliance Heatmap: жүйелер/бизнес-желілер бойынша бақылауларды жабу.
SLA Center: DSAR/AML/SOC 2/PCI DSS мерзімі өткен.
Access & Secrets: «уытты» рөлдер, мерзімі өткен құпиялар/сертификаттар.
Retention & Deletion: TTL бұзылуы, Legal Hold салдарынан тұрып қалу.
Incidents & Findings: бұзушылықтар трендтері, қайталануы, remediation тиімділігі.

13) Чек парақтары

Автоматтандыру бағдарламасын іске қосу

• Талаптар мен тәуекелдер тізілімі Legal/Compliance компаниясымен келісілді.
• Бақылау иелері мен стейкхолдерлер (RACI) тағайындалды.
• Деректер коннекторлары мен «Compliance» витринасы теңшелді.
• Саясаттар код ретінде сипатталған, тесттермен жабылған, CI/CD-ге қосылған.
• Алерттар мен дашбордтар орнатылған, SLO/SLA анықталған.
• evidence snapshot және WORM-мұрағат процесі сипатталған.

Сыртқы аудит алдында

• Талаптар бақылау матрицасы жаңартылды.
• dry-run дәлелдемелерді жинау жүргізілді.
• Мерзімі өткен remediation тикеттері жабылды.
• Мерзімі өткен ерекшеліктер (waivers) жаңартылды.

14) Артефактілердің үлгілері

Compliance Ops апта сайынғы есебі (құрылым)

1. Түйіндеме: негізгі тәуекелдер/инциденттер/трендтер.
2. Метриктер: Coverage, MTTD/MTTR, DSAR SLA, Drift.
3. Бұзушылықтар және түзету мәртебесі (by owner).
4. Саясаттың өзгеруі (нұсқасы, әсері).
5. Апталық жоспар: басым remediation, қол жетімділік ревюциясы.

Бақылау карточкасы (мысал)

ID/Атауы/Сипаттамасы

Норматив (тер )/Тәуекелдер

Тип: Preventive/Detective/Corrective

Scope (жүйелер/деректер)

Код ретінде саясат (сілтеме/нұсқа)

Әсер өлшемдері (FPR/TPR)

Иесі/Бэкап иесі

Evidence (не және қайда сақталады)

Ерекшеліктер (кім мақұлдады, қашан дейін)

15) Антипаттерндер

«Excel комплаенс» - тексерулер мен трассалану жоқ.
«Сұрау бойынша» қол есептері - болжамдылық пен толықтығы жоқ.
Талаптарды жасырын көшіру - тәуекелдерді және бизнес контекстін бағалаусыз.
Ережелер монолиті - нұсқалау мен тестерсіз.
Пайдаланудан кері байланыстың болмауы - метрика жақсармайды.

16) Жетілу моделі (M0-M4)

M0 Қол: бөлек тәжірибелер, дашбордтар жоқ.
M1 Каталог: талаптар мен жүйелер тізілімі, ең аз есептер.
M2 Автодетект: оқиғалар/тәуекелдер, код ретінде жеке саясаткерлер.
M3 Orchestrated: GRC + SOAR, кесте бойынша рег-есептер, кодтағы бақылаулардың 80%.
M4 Continuous Assurance: SDLC/өнімдегі үздіксіз тексерулер, авто-evidence, аудиторлардың өзіне-өзі қызмет көрсетуі.

17) Автоматтандыру кезіндегі қауіпсіздік пен құпиялылық

«Compliance» витриналарындағы деректерді барынша азайту.
Ең аз артықшылықтар қағидаты бойынша қол жеткізу, сегменттеу.
evidence (WORM/Object Lock) иммутабельді мұрағаттары.
Деректерді шифрлау және негізгі пән (KMS/HSM).
Есептер мен артефактілерге қол жеткізуді логикалау және мониторингілеу.

18) Байланысты wiki баптары

Privacy by Design және деректерді азайту

Legal Hold және деректерді мұздату

Деректерді сақтау және жою кестелері

DSAR: деректер үшін пайдаланушы сұраулары

PCI DSS/SOC 2: бақылау және сертификаттау

Инцидент-менеджмент және форензия

Жиынтығы

Комплаенсті автоматтандыру - бұл жүйелік инженерия: саясат код, бақылау, оркестрлеу және дәлелдеу базасы ретінде. Табыс бақылаулардың жабындысымен, реакция жылдамдығымен, есептілік сапасымен және «түйме бойынша» аудитке дайындығымен өлшенеді.