Инциденттік ойнатқыштар мен сценарийлер

1) Бөлімнің мақсаты

Операциялар мен Комплаенс контурындағы тосын оқиғаларға жылдам және келісілген әрекет ету үшін бірыңғай, нұсқаланатын плейбуктер жиынтығын (runbooks) қалыптастыру: анықтаудан бастап қалпына келтіруге, коммуникацияларға, заңды хабарламалар мен жақсартуларға дейін.

2) Плейбук стандарты (сценарий карточкасы)

ID: PB- <code >/Version: v <MAJOR. MINOR >/Owner: <role/name>
Title: <short and unambiguous>
Scope: <technology/payments/information security/compliance/PR>
Severity: S1    S2    S3    S4 (activation criteria)
Detection: <metrics/alerts/log signatures/sources>
Start triggers: <conditions and thresholds>
RACI: IC / Tech Lead / Sec Lead / Comms / Legal / Payments / CS / Data
Response steps:
0-15 min: <start actions, war room, holding statement>
15-60 min: <stabilization/bypasses/reserves/first external message>
1-4 hours: <in-depth diagnostics/fixes/targeted notifications>
Up to 24 hours: <final update/compensation/reports/retro slot>
Communications: <templates for status, players, partners, regulators, media>
Artifacts: <timeline, logs, dumps, screenshots, tickets, reports>
Legal: <to/when to notify, formats, languages>
Exit criteria: <conditions for closing the incident>
MTTD/MTTA/MTTR targets: <numerical benchmarks>
Prevention: <CAPA and backlog links to epics>
Last workout: <date/results/remarks>

3) Күрделілік және триаж матрицасы (түйіндеме)

S1 (сындарлы): Core/әмиянның жаһандық тоқтап тұруы, PII/қаржы деректерінің жылыстауы, төлемдердің жаппай қолжетімсіздігі, реттеуші тексерулер.
Апдейттер: ≤ 15 мин бірінші; әрбір 30-60 минут сайын.
S2 (жоғары): өңірлік іркілістер, төлемдер конверсиясының төмендеуі> 10%, ағынсыз расталған осалдығы.
S3 (орташа): жекелеген провайдерлердің тозуы/фич, CS өтініштерінің өсуі> базаға 30%.
S4 (төмен): жергілікті ақаулар, жеке шағымдар.

Триаж (жылдам чек): факт? ауқымы? құралдар/деректер қауіпсіздігі? заңды мерзімдері? резервтік бағыттар? бірінші хабар арнасы және келесі жаңартудың уақыты?

4) Рөлдер мен коммуникациялар

IC (Incident Commander): таймлайн/шешімдер иесі.
Tech Lead (SRE/Platform): диагностика/фикстер/айналма жолдар.
Security Lead (AppSec/Blue Team): форензия/контейнмент/қажет болған жағдайда АҚ-органдардың хабарламалары.
Payments Lead: PSP/банктер, көп бағыттар, қолмен өңдеу.
Legal/Compliance: реттеуші хабарламалар, тұжырымдар, мерзімдер.
Comms Lead: статус-бет, e-mail/SMS/push, аффилиаттар, медиа.
CS/CRM Lead: макростар, өтемақылар, таргет-сегменттер.
Data/Analytics: ықпалды бағалау, есептер, MTT бақылау.

Бір дауыс: кез келген сыртқы хабарламалар - Comms + Legal арқылы.

5) Әмбебап чек парақтары

5. 1 Плейбукті іске қосу (0-15 мин)

• IC тағайындалды, war room ашылды, стенографист тағайындалды.
• Маңыздылығы (S1-S4), әсер ету радиусы сәйкестендірілді.
• Қорғау шаралары қабылданды (фичефлагтар, лимиттер, тәуекелдер кезіндегі тоқтау-қорытындылар).
• Келесі аптаның holding statement және ETA дайындалды.
• Артефактілерді тіркеуге арналған тикеттер (логтар/дампалар/скриншоттар) жасалды.

5. 2 Бірінші сыртқы хабардың алдында

• Фактілер расталды, құпиялар алынып тасталды/PII.
• Тұжырымдаманы заңды тексеру.
• Пайдаланушыларға «қазір не істеу керек» деген нақты нұсқаулар.
• Келесі жаңартудың уақыты анық көрсетілген.

5. 3 Оқыс оқиғаны жабу

• Түбір жойылды/өтеу шаралары енгізілді.
• Өтемақылар есептелді, даулы транзакциялар өңделді.
• Соңғы есеп/мәртебе жаңартылды; ретро 7 күнге ≤ белгіленді.
• CAPA-тармақтар иелерімен және мерзімдерімен құрылған.

6) Үлгі ойнатқыштар (каталог)

PB-SEC-01: Деректердің жылыстауы/тіркелгілердің компроматы (S1)

Анықтау: кіру аномалиялары, EDR/WAF іске қосылуы, аккаунттарды бұзуға шағымдар, форумда ағып кету.
0-15 мин: қозғалған жүйелерді оқшаулау; құпияларды ротациялау; сындырылған токендерді ажырату; MFA науқанын қосу.
15-60 мин: қозғалған нысаналы хабарламалар; бірінші жария хабар; форензика үшін артефактілерді бекіту.
1-4 сағат: PII қолжетімділік аудиті; провайдерлерге/бұлтқа сұрау салулар; реттеушілік хабарламаларды дайындау.
24 сағатқа дейін: егжей-тегжейлі есеп беру, кілттерді ауыстыру, парольдерді жаңарту, мониторингті кеңейту.
Коммуникация: мәртебе-бет, e-mail қозғалған, серіктестер, қажет болған жағдайда - Q&A медиа.
Заңды: реттеушілердің/банктердің/PSP белгіленген мерзімде хабарламалары.
Шығу критерийлері: тәуекел оқшауланған; барлық токендер ауыстырылды; ойыншыларға нұсқаулықтар жіберілді; жоқ/шектелген залал расталды.
Алдын алу: bug bounty, hardening, DLP, құпия-менеджмент.

PB-PAY-02: Төлем дағдарысы (PSP/банк қол жетімді емес) (S1/S2)

Анықтау: auth-rate құлдырауы, істен шығулардың өсуі, қорытындылардың кезегі.
0-15 мин: резервтік PSP/бағыттарға ауысу; авто-қорытындыларды жұмсақ тоқтата тұру; кассадағы баннер «баламалы әдістер».
15-60 мин: бірінші сыртқы хабарлама (касса/мәртебе); VIP/осал топтардың қол басымдығы; PSP байланысы.
1-4 сағат: лимиттерді қайта есептеу; қолайсыздық үшін өтемақы; серіктестерге есеп беру.
Сағат 24-ке дейін: соңғы есеп; SLA бойынша қайтарымдар; трафикті теңгерімдеу ережелерін жаңарту.
Алдын алу: мульти-эквайринг, әдістері бойынша health-checks, авто-ребаланс.

PB-NET-03: DDoS/желінің жаппай тозуы (S1)

0-15 мин: анти-DDoS профильдер қосу; rate-limits/каппинг; CDN/WAF қорғау ережелері; ауыр эндпоинттерді уақытша сөндіру.
15-60 мин: гео-сүзгілер/қара тізімдер; провайдермен коммуникация; ETA пайдаланушыларына бірінші хабар.
1-4 сағат: майдандарды масштабтау; канареялық тексерулер; шабуыл телеметриясын талдау.
Профилактика: тұрақты DDoS-жаттығулар; бейімделетін бейіндер; қосалқы ASN/CDN.

PB-GAME-04: Ойын провайдері сәтсіз болды (S2/S3)

Анықтау: провайдердің API қателерінің өсуі, нақты тайтлдар бойынша CS өтініштерінің өсуі.
Қадамдар: қозғалған ойындарды уақытша жасыру; / ауыстыру кеңесін көрсету; теңгерімдерді синхрондау; провайдер мен ойыншыларды хабардар ету.
Алдын алу: fail-open/close стратегиялары, каталогты кэштеу, ойындарды health-таңбалау.

PB-REG-05: Реттеуші инцидент (S1/S2)

Кейстер: бонустық шарттардың бұзылуы, KYC/KYB істен шығуы, жарнаманың бұзылуы.
Қадамдар: даулы механиктер freeze; Legal/Compliance консультациясы; бейтарап тұжырымдар; үлгілер бойынша есептілік.
Профилактика: pre-clearance промо, Т&С тұрақты аудиттері.

PB-FRD-06: Алаяқтық сақина/абьюз (S2)

Анықтау: мультиаккаунтингтің өршуі, бонус-абьюз, төрелік аномалиялар.
Қадамдар: депозиттердің/шығарылымдардың уақытша лимиттері; мақсатты KYC; девайс/төлем/IP байланыстарын бұғаттау; тәуекелдер есебі.
Коммуникациялар: жеке хабарламалар; антифрод-логиканы көпшілікке ашудан аулақ болуға тиіс.
Профилактика: мінез-құлық модельдері, графика-аналитика, velocity-сүзгілер.

PB-DATA-07: Деректердің тұтастығы/теңгерімдерді синхрондамау (S1/S2)

Қадамдар: әмиянды «safe-mode» -ге аудару; қауіпті операцияларға тыйым салу; журналдардан/снапшоттардан қалпына келтіру; агрегаттарды салыстырып тексеру; дербес хабарламалар.
Алдын алу: екі фазалы коммиттер/іспеттілік, event-sourcing, инварианттар.

PB-AFF-08: Аффилиаттар трекингінің құлдырауы (S3)

Қадамдар: пиксельдерді/постбектерді жөндеу; өтемақы есептері; әріптестерге хабарламалар; атрибуцияның уақытша коэффициенттері.
Профилактика: конверсия мониторингі, резервтік коллбектер.

PB-PR-09: Беделді дауыл (S2/S3)

Қадамдар: бірыңғай позиция; фактчек; Q&A; түсініктемелерде дауларды болдырмау; фактілері бар лонг-рид дайындау.
Алдын алу: спикерлердің медиатренингі, фактілермен «dark site».

PB-PHI-10: Фишинг/жалған сайттар (S2)

Қадамдар: дәлелдемелерді жинау; тіркеушілерді/хостерлерді хабардар ету; ойыншыларға ескерту; антифишинг бетін жаңарту; DMARC/Brand Indicators.
Алдын алу: домендік ұқсас мониторинг, анти-фишинг провайдерлерімен серіктестік.

7) Хабарлама үлгілері (жылдам кірістіру)

Әріптестерге/аффилиаттарға: «трекингке/уақытша шараларға/ЕТА-ға не/қалай әсер етеді» қысқаша брифі.

Реттеушіге/банктерге/PSP: ресми хабарлама: фактілер, шаралар, клиенттік ықпал, алдын алу жоспары, түпкілікті есептің мерзімі.

8) Өлшемдер мен мақсаттар

Табу: MTTD, сигнал-to-noise алерттер.
Реакция: MTTA, TTS (time-to-statement), SLA-дағы апдейт%.
Қалпына келтіру: қозғалған сервистер бойынша MTTR, RTO/RPO.
Әсер: қозғалған ойыншылар/транзакциялар, толық алынбаған GGR, chargeback-рейт.
Коммуникациялар: open/click-rate, қамту, қайталама өтініштер үлесі, CSAT/DSAT.
Комплаенс: міндетті хабарламалардың уақтылығы, артефактілердің толықтығы.

9) Артефактілер және дәлелдеу базасы

• шешімдер мен әрекеттердің таймлайн (минуттық дәлдігі);
• логи/дампы/скриншоты/экспорт графики;
• конфигурациялардың/билдтердің нұсқалары;
• хабарламалардың көшірмелері мен алушылардың тізімдері;
• қозғалған аккаунттардың/транзакциялардың тізімдері;
• заңды хабарламалар (жоба жазбалар/жөнелтімдер/жауаптар).

10) Құралдар және интеграция

'/declare ', '/severity S1.. S4', '/update <мәтін> ', '/close' оқиғасы.
Мәртебе-бет: жария таспалар; аптайм-датчиктермен интеграциялау.
Өтемақы: сегменттер калькуляторы (уақыт, гео, ойын, төлем әдісі бойынша).
Секьюрити-стек: EDR/WAF/SIEM/IDS; SOAR-дағы ойнатқыштар.
Бақылануы: логи/метрика/трейстер, error budgets, SLO-дашбордтар.

11) Плейбуктер каталогын басқару (governance)

Нұсқалау: Git-репозиторий, PR-процесс, семантикалық нұсқалар.
Жауаптылығы: әрбiр плейбуктiң иесi мен резервi болады.
Тексеру: кем дегенде тоқсан сайын, әрбір S1/S2 кейін - жоспардан тыс.
Жаттығулар: тоқсанына бір рет table-top, сыни сценарийлер бойынша жарты жылда бір рет live-drill.
Үйлесімділік: BCP/DRP сілтемелері, Эскалация матрицасы, Жауапты ойын, Хабарландыру саясаты.

12) Енгізудің жылдам басталуы (30 күн бұрын)

1. 10 тәуекелді сценарийдің тізімін жасау және иелерін тағайындау.
2. Әрқайсысы үшін - стандарт бойынша карточка ресімдеу (2-бөлім) және репозиторийде жүргізу.
3. Плейбуктарды инцидент-ботқа қосу (шорткодтар мен хабарлар үлгілері).
4. 2 table-top оқу-жаттығу (төлемдер + АҚ) және 1 live-drill (ойын провайдерінің құлдырауы) өткізу.
5. Метриктің дашбордын іске қосу (MTTD/MTTA/MTTR, TTS, SLA-дағы апдейттер%).
6. CAPA-бэклогын ашу, мерзімін және RACI келісу.
7. Үлгілерді (ойыншыларға/серіктестерге/реттеушілерге) sandbox арқылы «құрғақ» тарату.

• Дағдарыстық басқару және коммуникация
• Бизнестің үздіксіздігі жоспары (BCP)
• Disaster Recovery Plan (DRP)
• Эскалация матрицасы
• Хабарламалар мен ескертулер жүйесі
• Жауапты ойын және ойыншыларды қорғау