GH GambleHub

Деректердің жылыстауы кезіндегі рәсімдер

1) Мақсаты және қолдану саласы

Мақсаты: залалды барынша азайту, заңды талаптарды орындау және дербес/төлем/операциялық деректердің расталған немесе ықтимал ағуы кезінде қалыпты жұмысты тез қалпына келтіру.
Қамту: ойыншылар мен қызметкерлердің PII, төлем артефактілері, кіру логтары/токендері, KYC/AML құжаттары, аффилиаттар/серіктестер деректері, өнімдер мен инфрақұрылымның құпия артефактілері.

2) «Жылыстау» анықтамалары мен критерийлері

Деректердің жылыстауы (data breach) - қауіпсіздік инциденті немесе процесс қатесі салдарынан дербес деректердің (немесе өзге де қорғалатын ақпараттың) құпиялылығын, тұтастығын немесе қол жетімділігін бұзу.
Расталған vs күдікті: кез келген индикаторлар (SIEM ауытқулары, вендорлардың/пайдаланушылардың хабарламалары, Paste-сайттар) теріске шығарғанға дейін рәсімді іске қосады.

3) Күрделілікті жіктеу (мысал)

ДеңгейСипаттамасыМысалдарМіндетті әрекеттер
LowКішігірім көлем, төмен сезінеді, сыртқы қолжетімділігі жоқЖергілікті хат алмасу, ішінара e-mailТикет, жергілікті фикс, журналға жазылу
MediumШектеулі PII іріктемесі/операциялық деректерVIP-клиенттердің аттары/телефондары бар CSVЭскалация ≤ 4 сағ, containment, DPO хабарламасы
HighЕлеулі көлем/сезімтал санаттарKYC-сканерлер, биометрия, төлем токендеріWar-room ≤ 1 сағ, хабарлама дайындау
CriticalЖаппай жылыстау/трансшекаралық/құқықтық тәуекелдерПайдаланушылар базасы, кілттер/құпияларWar-room ≤ 15 мин, заңды хабарламалар және PR-жоспар

4) SLA және «инцидент-бридж»

Бастамасы: Medium + кезінде war-room (чат/қоңырау) жасалады, Incident Commander (IC) тағайындалады.
SLA: Low - 24 сағ.· Medium - 4 сағ.· High - 1 сағ.· Critical - 15 мин.
Апдейт каденсы: әрбір 30-60 минут (ішкі), әрбір 2-4 сағат (сыртқы мүдделі тараптар).

5) RACI (ірілендірілген)

РөліЖауапкершілік
IC (Ops/Sec)Үйлестіру, таймлайн, «тоқта/старт» шешімдері
Security/ForensicsТех. талдау, артефактілерді жинау, containment/eradication
DPO/ComplianceЗаңдық біліктілік, DPA/пайдаланушылардың хабарламалары
LegalҚұқықтық тұжырымдамалар, шарттық міндеттемелер, реттеушілер
SRE/EngineeringСервистерді оқшаулау, кілттерді ротациялау, кері қайтару/фикс
Data/BIХабарламалар үшін көлемді/санаттарды бағалау, анонимдеу/экспорт
Payments/FRMТөлемдер тәуекелдері, PSP/банктермен өзара іс-қимыл
PR/CommsСыртқы хабарлар, саппорт үшін FAQ
Support/VIPПайдаланушылармен/вип-клиенттермен байланыс
Vendor ManagerВендорлармен/субпроцессорлармен үйлестіру

6) Ден қою рәсімі (қадамдық)

1. Сәйкестендіру және бастапқы валидация

SIEM/EDR/антифрод/вендор/пайдаланушы → оқиғалар тізіліміне жазба.
Ең аз фактілерді жинау: не/қашан/қайда/қанша, деректердің және юрисдикцияның қозғалған түрлері.

2. Containment (тежеу)

Осал эндпоинттерді ажырату/фич, гео-кесінділер, уақытша лимиттер, релиздерді мұздату.
Кілттерді/токендерді ротациялау, кіруді қайтарып алу, сындырылған есептік жазбаларды бұғаттау.

3. Eradication (жою)

Патч-фикс, зиянды артефактілерді тазалау, бейнелерді қайта іріктеу, субпроцессорларды тексеру.

4. Recovery (қалпына келтіру)

Трафикті канареялық енгізу, регрессия мониторингі, тұтастық чектерінен өту.

5. Форензия және әсерді бағалау

Субъектілер үшін көлемді, сезімталдықты, географияны, тәуекелді есептеу; қозғалған жазбаларды растау.

6. Хабарламалар мен коммуникациялар

DPO/Legal хабарламалардың міндеті мен мерзімдерін айқындайды; мәтіндерді дайындау; адресаттарға тарату.

7. Пост-мортем және CAPA

Себептерді талдау (5 Whys), иелерімен және мерзімдерімен түзету/ескерту шараларының жоспары.

7) 72 сағаттық терезе және заңды мекенжайлар (бағдарлар)

Деректер бойынша қадағалау (DPA) - егер субъектілердің құқықтары/бостандықтары үшін тәуекел жойылмаса, елеулі ағып кету анықталғаннан кейін 72 сағаттан кешіктірмей хабардар ету.
Пайдаланушылар - жоғары тәуекел кезінде «негізсіз кідіріссіз» (түсінікті ұсынымдармен).
Құмар ойындарын реттеуші - ойыншыларға әсер еткен кезде/тұрақтылық/есептілік.
Банктер/PSP - төлем тәуекелдері/белгілердің ымырасы/күдікті транзакциялар кезінде.
Әріптестер/вендорлар - егер жалпы ағындар/деректер қозғалса немесе олардың әрекеті талап етілсе.

8) Форензика және «дәлелдемелерді сақтау тізбегі»

Томдардың/логтардың түсірілімдері, хеширленген артефактілердің экспорты (SHA-256).
Тек көшірмелермен/снапшоттармен жұмыс істеу; бастапқы жүйелер - read-only.
Әрекет хаттамасы: кім/қашан/не жасады, пайдаланылған командалар/құралдар.
WORM/объектілік қоймада сақтау; қолжетімділіктің шектелуі, аудит.

9) Коммуникация (ішкі/сыртқы)

Қағидаттар: фактілер → шаралар → ұсыныстар → келесі жаңартылған.
PII жариялауға, тексерілмеген болжамдар жасауға, бақылаусыз мерзімдер уәде беруге болмайды.

Ішкі апдейт үлгісі (қысқаша):
  • Не табылды?· Масштабы/санаттары· Ағымдағы шаралар· Тәуекелдер· Келесі қадамдар· HH: MM келесі жаңартуы.

10) Вендорлармен/субпроцессорлармен өзара іс-қимыл

Олардың тосын оқиғалар тізілімін, қолжетімділік журналдарын, SLA хабарламаларын, қосалқы процессорлар тізбесін тексеру.
Есептерді сұрату (пентест/форензика), деректердің жойылғанын/қайтарылғанын растауды тіркеу.
DPA сәйкес келмеген жағдайда - эскалация және уақытша оқшаулау/интеграцияны тоқтату.

11) Хабарлама үлгілері (фрагменттер)

11. 1 Қадағалау органына (DPA)

Оқиғаның және табылған уақыттың қысқаша сипаттамасы, деректердің санаттары/болжамды көлемі, субъектілер топтары, география, салдарлар мен тәуекелдер, қабылданған/жоспарланған шаралар, DPO байланысы, қосымшалар (таймлайн, хеш-мәліметтер).

11. 2 Пайдаланушылар

Не болды; қандай деректер зардап шегуі мүмкін; біз не істедік; сіз не істей аласыз (парольді ауыстыру, транзакцияларды бақылау, фишинг кеңестері); қалай байланысу керек; FAQ/қолдау орталығына сілтеме.

11. 3 Серіктестер/PSP/реттеуші

Фактілер және қозғалған интерфейстер; әріптестің күтілетін іс-әрекеттері; мерзім; байланысатын адамдар.

12) Инциденттер тізілімі (ең аз өрістер)

ID· Анықтау/растау уақыты· Күрделілік· Дереккөз· Жүйелер/деректер· Көлем/санаттар· География· Қолданылған вендорлар· Қабылданған шаралар (уақыт бойынша)· Хабарламалар (кімге/қашан)· Жауапты (RACI)· Артефактілерге сілтемелер· САРА/мерзімдер· Мәртебе.

13) Өлшемдер және нысаналы бағдарлар

MTTD/MTTC/MTTR (анықтау/тежеу/қалпына келтіру).
хабарламалар% 72 сағат - 100%.
Негізгі себеп анықталған оқыс оқиғалар үлесі ≥ 90%.
CAPA 95% ≥ мерзімінде жабылды.
Бір себеппен қайталанған оқыс оқиғалар 5% ≤.
SLA-да (Medium/High/Critical) жабылған оқыс оқиғалардың үлесі: 90/95/99%.

14) Чек парақтары

14. 1 Бастау (алғашқы 60 минут)

  • IC тағайындалған және war-room ашылған
  • Тұрақтандыру шаралары (ажыратулар/лимиттер/кілттерді ротациялау)
  • Минималды фактілер мен скриншоттарды/логтарды жинау
  • DPO/Legal хабарланған, preliminary класы анықталған
  • Релиздер мен протоколдарды мұздату

14. 2 24 сағатқа дейін

  • Форензия: көлем/санаттар/география (draft)
  • Хабарламалар бойынша шешім, мәтіндерді дайындау
  • Қайта қарау/тұтастығын тексеру жоспары
  • WORM-дегі дәлелдемелер пакеті, оқиғалар уақыты

14. 3 72 сағатқа дейін

  • DPA/реттегіштерге/PSP хабарламаларын жіберу (қажет болса)
  • Пайдаланушыларға көмек (жоғары тәуекелмен)
  • CAPA жаңартылған жоспары, иелері және мерзімдері

15) Үлгілік сценарийлер мен шаралар

А) Қойманың ашық сегментіне саппорт-чат базасын экспорттау

Шаралар: қол жетімділікті жабу, көшірмелерді түгендеу, қозғалғандарды хабардар ету, S3/ACL саясатын күшейту, DLP-экспорт ережелері.

B) API қол жеткізу токендерін компрометациялау

Шаралар: дереу ротациялау, refresh-токендерді кері қайтарып алу, шақыру журналын тексеру, вебхуктардың қайта қолтаңбасы, трафикті сегменттеу.

C) Вендорлар арқылы KYC-сканерлердің ағуы

Шаралар: интеграцияны оқшаулау, алып тастауды растау, клиенттерді қолмен high-risk қайта тексеру, DPA/ұстап қалуды тексеру.

D) Дампты жұртшылыққа жариялау

Шаралар: артефактілерді (хэштерді) тіркеу, сілтемелерді (takedown) заңды түрде алып тастау, хабарламалар, одан әрі жарияланымдардың мониторингі.

16) Комплаенспен және құпиялылықпен интеграциялау

GDPR процестерімен байланыстыру: DSAR, RoPA, DPIA/DTIA; Жеткізушілер/мақсаттар өзгерген кезде Саясатты және кукилерді/ҚМЖ жаңарту.
Инцидентті тәуекелдер матрицасына қосу және шектерді/бақылауларды қайта қарау.

17) CAPA және пост-мортем (тұрақтандырудан кейін 72 сағаттан ≤)

Есептің құрылымы: фактілер/таймлайн· импакт· бастапқы себеп· не істеді/жоқ· CAPA тізімі (иесі, мерзімі, табыс критерийі)· тиімділікті тексеру күні (30-60 күннен кейін).

18) Процестің жетілуінің жол картасы

1-ай: playbook өзектендіру, контактілер, үлгілер, WORM мұрағаты, хабарландыру тесті.
2-ай: tabletop жаттығулары (PII/вендор/токендер ағуы), SOAR-плейбуктер.
3 + айы: тоқсандық ретроспективалар, вендорлар аудиті, антифрод/детекция модельдерінің bias-тестілері, табалдырықтарды тұрақты тексеру.

TL; DR

Ағу кезінде: жылдам тұрақтандырамыз (containment), дәл растаймыз (форензия), уақытында хабарлаймыз (DPA/пайдаланушылар/серіктестер), мөлдір құжаттаймыз (тізілім, таймлайн, дәлелдер) және бастапқы себебін түзетеміз (CAPA). Нәтижесі - шығын аз, талаптарға сәйкестігі және ойыншылар мен әріптестердің қалпына келтірілген сенімі.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.