Тосын оқиғалар мен ағымдарға реакция

1) Мақсаты, қағидаттары және қамту

Мақсаты: залалды және заңдық тәуекелдерді төмендету, операциялардың үздіксіздігін және қауіпсіздік/комплаенс инциденттері кезінде іс-қимылдардың дәлелденуін қамтамасыз ету.
Қағидаттары: «жылдам ұстау → нақты растау → мөлдір құжаттау → заңды хабарлау → қайталауды болдырмау».
Қамту: кибер оқиғалар (DDoS, АТО, хакерлік, осалдықтар), PII/төлем деректерінің жылыстауы, AML/KYC/санкциялардың бұзылуы, провайдерлердің іркілістері (KYC/PSP), жарнама/жауапты ойын инциденттері (RG), компромат жасалған әріптестер.

2) Жіктеу және күрделілік триггерлері

3) Эскалация SLA және «инцидент-бридж»

Бастама: High/Critical кезінде war-room (чат/қоңырау) жасалады, Incident Commander (IC) тағайындалады.
SLA: Info — n/a; Low - 24 сағ; Medium — 4 ч; High - 1 сағ; Critical - 15 мин.
Бриджедегі рөлдер: IC, Security Lead, SRE/Ops, Compliance (заңдылық бойынша Deputy IC), Legal/DPO, Payments/FRM, Support/VIP, PR/Comms, Data/Forensics.

4) Ден қою процесі (бейімделудегі SANS/NIST-стек)

1. Дайындау: runbooks, байланыс парақтары, резервтік провайдерлер, тест алаңдары, әдепкі қатынас «жабық».
2. Сәйкестендіру: SIEM/SOAR корреляциялары, антифрод-ережелер, KRI-сигналдар; фактіні/көлемді растау.
3. Тежеу (Containment): сегменттеу, осал фичаны/эндпоинтті ажырату, гео-шектеулер, feature-flags, уақытша лимиттер/холдингтер.
4. Жою (Eradication): патч/кілттерді ротациялау, есепке алу/құрылғылар блогы, зиянды артефактілерді тазалау, бейнелерді қайта іріктеу.
5. Қалпына келтіру (Recovery): тұтастықты валидациялау, трафикті біртіндеп қосу (канареялық пулдар), регрессия мониторингі.
6. Сабақтар (Post-Incident): пост-мортем ≤ 72 сағат, CAPA-жоспар, саясаттарды/шектерді/модельдерді жаңарту.

5) Заңдық хабарламалар және сыртқы коммуникациялар

• Деректер бойынша қадағалау (DPA): расталған PII → хабарлама (оқыс оқиғаның сипаттамасы, деректер санаты, шаралар, DPO байланысы).
• Құмар ойындарын реттеуші: RG/жарнама ережелерін жаппай бұзу/ойыншыларға/есептілікке әсер ететін іркілістер.
• Банктер/PSP: күмәнді белсенділік/SAR-кейстер, жаппай chargebacks, төлем ағынының компромисі.
• Пайдаланушылар: олардың деректерінің жылыстауы/зиян келтірудің жоғары тәуекелі; хат үлгілері және FAQ.
• Әріптестер/вендорлар: оларда немесе бізде жалпы ағындарды/деректерді қозғайтын инциденттер.

Комм-ережелер: бірыңғай спикер, болжаусыз фактілер, нақты іс-әрекеттер/ұсынымдар, хабарламалардың барлық нұсқалары мен жауаптарын сақтау.

6) Форензика және «дәлелдемелерді сақтау тізбегі» (Chain of Custody)

Кім/қашан/не жинағанын белгілеу; WORM/өзгермейтін сақтау орнын пайдалану.
Томдардың/логтардың түсірілімдері, хеширлеу арқылы артефактілерді экспорттау (SHA-256).
Тек оқу рұқсаттары, дубликаттар арқылы жұмыс істеу.
Барлық командаларды/қадамдарды құжаттау; таймлайнды сақтау.
Legal/DPO-мен артефактілерді үшінші тұлғаларға беру шарттары келісілсін.

7) Бақыланатын коммуникациялар (ішкі/сыртқы)

Do: қысқаша, нақты, IC/Legal-мен келісілген; келесі апдейт-слотты көрсету (мысалы, әрбір 60 минут сайын).
Don 't: фактілер ретінде гипотезалар, PII ашу, айыптаулар, бақылаусыз мерзімдер уәде.

• Не болды ?/Күрделілігі/Ықпал ету саласы/Қабылданған шаралар/Келесі қадамдар/Келесі жаңартылған...

8) Типтік домендік playbook 'және

A) PII жылыстауы (қосымша/бэкенд/вендор)

1. Бридж ≤ 15 мин → күдікті end-points/кілттерді қатыру → деректерге қолжетімділіктің жоғары аудитін қосу.
2. Форензия: PII көзін/көлемін/типтерін анықтау, таймлайн.
3. Іс-әрекеттер: құпияларды ротациялау, фикстер, құқықтарды тексеру, вендорды оқшаулау.
4. Ескертулер: DPA/реттеуші/пайдаланушылар/серіктестер (талаптар бойынша).
5. Ойыншыларды қолдау: FAQ, қолдау арнасы, ұсыныстар (құпия сөзді ауыстыру/алаяқтық).
6. Пост-мортем және CAPA.

B) Ойыншылардың есептік жазбаларын компрометациялау (ATO/credential stuffing)

1. ATO сигналдарында Spike → rate limit/2FA-enforce/WebAuthn, уақытша шығару блоктарын күшейту.
2. Құрылғыларды/IP кластерлеу, хабарламаларды қозғалған күйінде тарату, токендерді тастау.
3. Қаржылық операцияларды тексеру, қажет болған жағдайда SAR.

С) КБК/санкциялар провайдерінің бас тартуы

1. Fallback-провайдерге ауысу, жылдам шығуларды шектеу, VIP үшін қол ағыны.
2. Саппорт және VIP-менеджерлерге арналған комм; тарту кезінде - реттеушіні/банктерді хабардар ету (егер тексеруге әсер етсе).

D) PSP/төлем инциденті (chargebacks/компрометация)

1. Қатаң 3DS/AVS қосу, лимиттерді және velocity ережелерін түсіру; тәуекел тобының холды.
2. PSP/банкке хабарлау; жуу белгілері кезінде - EDD/SAR.
3. Қабылданбаған трафикті қалпына келтіру және аудит.

E) DDoS/қол жетімділік

1. WAF/гео-кесу/скруббингті белсендіру; «аяз» релиздері.
2. Өңірлерді канареялық қосу, SLO бақылау; орнықтылығы бойынша пост-мортем.

9) Аспаптар мен артефактілер

SIEM/SOAR, IDS/IPS, WAF, EDR, DLP, құпия менеджер, vault-ротация, антифродта ауытқуларды анықтау, инциденттер тізілімі, хабарлама үлгілері.
Артефактілер: инцидент тізілімі, бридж хаттамасы (таймлайн), форензика есебі, хабарламалар пакеті (реттеуші/пайдаланушылар/банктер), пост-мортем, CAPA-трекер.

10) Өлшемдер және нысаналы бағдарлар

MTTD (анықтауға дейінгі уақыт), MTTC (ұстап қалуға дейін), MTTR (қалпына келтіруге дейін).
Негізгі себеп анықталған оқыс оқиғалар% ≥ 90%.
CAPA орындау% 95% ≥.
Осы себеп бойынша қайталанған оқыс оқиғалардың үлесі 5% ≤.
SLA-да жабылған оқыс оқиғалардың үлесі: Medium ≥ 90%, High ≥ 95%, Critical ≥ 99%.

11) RACI (ірілендірілген)

Incident Commander (Ops/Sec): A басқару, шешім қабылдау, таймлайн.
Security Lead (R): техникалық. талдау, форензика, containment/eradication.
Compliance/DPO (заңдылық үшін R/A): ағып кету біліктілігі, хабарламалар, тарату парағы.
Legal (C): құқықтық бағалау, келісімшарттар/шарттар, хаттарды тұжырымдау.
SRE/Engineering (R): фикстер, кері қайтарулар, тұрақтылық.
Payments/FRM (R): холдингтер, антифрод-табалдырық, PSP/банктермен өзара іс-қимыл.
PR/Comms (R): сыртқы хабарламалар, саппорт үшін Q&A.
Support/VIP (I/C): ойыншылармен байланыс фронты.

12) Үлгілер (ең аз жиынтық)

12. 1 Инцидент карточкасы (тізілім)

ID· Анықтау уақыты· Сынып/күрделілік· Қозғалды (жүйелер/деректер/юрисдикциялар)· IC· Техникалық/бизнес иесі· Алғашқы шаралар· Көлем/залалды бағалау· Хабарламалар (кімге/қашан)· Артефактілерге сілтемелер· Мәртебе/САРА/мерзімдер.

12. 2 Пайдаланушыларға ескерту (сығу)

Не болды; қандай деректер қозғалуы мүмкін; біз не істедік; сізге не ұсынамыз; контактілер; / FAQ саясатына сілтеме.

12. 3 Пост-мортем (құрылым)

Фактілер/таймлайн· Импакт· Бастапқы себеп (5 Whys)· Не істеді/істемеді· CAPA (иесі/мерзімі өткен)· N аптадан кейін тиімділікті тексеру.

13) Операциялармен және комплаенспен интеграциялау

CAB/Change: қауіпті өзгерістер - тек фича-жалаулар/канарейка арқылы; әрбір релизде - кері қайтару жоспары.
Деректер мен есептілік: инциденттердің дашбордтарын автоматты құрастыру; KRIs-пен байланыс (санкциялар/РЕР, KYC, CBR, АТО).
Тәуекелдер: тәуекелдер матрицасын және тізілімді жаңарту, әрбір major-инциденттен кейін шектерді калибрлеу.

14) Оқу-жаттығулар және дайындық

Tabletop тоқсанына бір рет (PII ағуы, KYC істен шығуы, ATO-толқыны, PSP-инцидент).
Red/Blue/Purple-team тексеру; вендорлармен және PSP бірлескен оқу-жаттығулары.
Дайындық KPI: тренингтен өткен қызметкерлердің үлесі; оқу-жаттығулардың табысты өтуі; «бриджді көтерудің» орташа уақыты.

15) Енгізу жол картасы

1-2 апта: рөлдерді/контактілерді өзектендіру, үлгілер, резервтік провайдерлер.
3-4 апта: SOAR-плейбуктер, бридж арналары, тест хабарламалары, WORM-мұрағат.
2 + айы: тұрақты оқу-жаттығулар, журналдар аудиті, инциденттер бойынша есептілікті автоматтандыру.

TL; DR

Дайындық = алдын ала келісілген рөлдер мен табалдырықтар + жылдам бридж + қатты containment + заңды және уақтылы хабарламалар + дәлелдемелер тізбегімен форензия + міндетті пост-мортемалар және CAPA. Бұл шығынды барынша азайтады, айыппұл тәуекелдерін азайтады және ойыншылар мен әріптестердің сенімін нығайтады.