GH GambleHub

Тәуекелдер тізілімі және бағалау әдіснамасы

1) Тізілімге не үшін және не үшін кіреді

Мақсаты: ақшаға (GGR/CF), лицензияларға, ойыншыларға, деректер мен беделге әсер ететін тәуекелдерді сипаттаудың, бағалаудың, басымдылықтың және мониторингтің бірыңғай жүйесі.
Қамту: өнім/инженерия (SDLC/инциденттер), қаржы және төлемдер (PSP/қорытындылар), KYC/AML/санкциялар, құпиялылық (GDPR), TPRM/вендорлар, маркетинг/SDK, деректер (DWH/BI), инфрақұрылым/бұлттар/DR, саппорт операциялары және VIP.

2) Тәуекелдердің таксономиясы (мысал)

Ақпараттық қауіпсіздік және құпиялылық: PII/KYC жылыстауы, рұқсатсыз кіру, логингтің сәтсіздігі, DSAR-фейл.
Реттеуші/комплаенс: лицензиялардың, AML/KYC/санкциялардың, жарнамалық тыйым салулардың шарттарын бұзу.
Операциялық/технологиялық: PSP/KYC даунтаймы, релиздегі ақау, latency деградациясы, DR инциденттері.
Алаяқтық/теріс пайдалану: фрод-депозиттер, бонустық абуз, төлем шабуыл паттерндері.
Қаржылық: әріптестердің өтімділігі, chargeback-шоктар, бір PSP-ге шоғырлану.
Вендорлық/жеткізу тізбегі: осал SDK, төмен TOMs бар субпроцессорлар.
Беделді/клиенттік: шағымдардың көбеюі, NPS құлдырауы, RG бұзушылықтары.
Стратегиялық/геосаяси: санкциялар, салықтарды/заңдарды ауыстыру, трафикті бөгеу.

3) Тәуекел карточкасы (міндетті өрістер)

ID/Тәуекел атауы

Санат (таксономиядан)

Оқиғаның сипаттамасы (не болуы мүмкін) және себептері

Әсер ететін активтер/процестер/юрисдикциялар

Тәуекел иесі (Risk Owner) және куратор (Sponsor)

Қолда бар бақылаулар (алдын алу/детективтік/түзету)

(P) ықтималдығы және (I) бақылауға дейінгі әсері (inherent)

Бақылаудан кейінгі қалдық тәуекел (residual)

Жүгіну жоспары (treatment): төмендету/болдырмау/қабылдау/беру

Эскалация шегі/қауіп деңгейі (Low/Medium/High/Critical)

KRIs және триггерлер, метриктер және деректер көздері

Мәртебесі және мерзімі (Next Review), байланысты САРА/тикеттер

Бақылау тізілімімен (ID бақылау) және саясатпен байланыс

Аудитордың/комитеттердің түсініктемелері (соңғы шешімдер)

4) Бағалау шкалалары (әдепкі 5 × 5)

4. 1 Ықтималдық (P)

1 - Сирек (<1/5 жыл)

2 - Төмен (1/2-5 жыл)

3 - Орташа (жыл сайын)

4 - Жоғары (тоқсан)

5 - Өте жоғары (ай/жиі)

4. 2 Әсер ету (I) - бұтақтардың ішінен максимумды таңдау

Қаржы: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Құпиялылық/деректер: 1: <1k жазбалар·...· 5:> 1M жазбалар/арнайы санаттар

Реттеуші/лицензия: 1: ескерту· 3: айыппұл/тексеру· 5: лицензияны тоқтата тұру

Қол жетімділік (SLO/SLA): 1: <15 мин·...· 5:> Критикалық аймақтар үшін 8 сағ

Қорытынды балл: 'R = P × I' → деңгейлері: 1-5 Low, 6-10 Medium, 12-16 High, 20-25 Critical.

(Табалдырықты компанияға бейімдеуге болады.)

5) Жылу картасының матрицасы және тәуекелге аппетит

Risk Appetite: домендер бойынша рұқсаты бар құжат (мысалы, PII жылыстауы - нөл төзімділік; даунтайм P95 - ≤ X мин/ай; chargeback rate — ≤ Y%).
Heatmap: 5 × 5 R визуализациясы; тәбеттен жоғары - жоспар мен CAPA мерзімін талап етеді.
Risk Budget: негіздемесі бар «қабылданатын» тәуекелдерге арналған квоталар (экономикалық орындылығы).

6) Бағалау әдіснамасы

6. 1 Сапалы (жылдам бастау)

Р/I шкаласы бойынша сараптамалық бағалау + негіздеме, оқыс оқиғалар тарихымен және KRIs деректерімен салыстыру.

6. 2 Сандық (Top-10 үшін басым)

FAIR-тәсіл (оңайлатылған): оқиғалардың жиілігі × зиянды ықтимал бөлу (P10/P50/P90); төмендету нұсқаларын салыстыру үшін пайдалы.
Monte Carlo (1000-10k прогондар): зиян мен жиіліктің вариативтілігі → Loss Exceedance Curve (жоғалту ықтималдығы> X).
TRA (Targeted Risk Analysis): мониторинг/бақылау жиіліктерін таңдау үшін нүктелік талдау (PCI/вендорлар үшін өзекті).

7) KRIs және көздер

Домендерге мысалдар:
  • Қолжетімділік/операциялар: MTTR, 5xx қателері, P95 latency, P1/P2 инциденттері,% автоскейл, кластер сыйымдылығы.
  • Қауіпсіздік/құпиялылық:% MFA coverage, credential stuffing әрекеттері, ерекше экспорттар, DSAR SLA, антимальвар жалаушалары.
  • Төлемдер: PSP бойынша auth rate, chargeback rate, банктен бас тарту, қол кассауттарының үлесі.
  • KYC/AML: TAT, false positive rate, санкциялық хиттер, эскалация үлесі.
  • Вендорлар: SLA compliance, латенттілік дрейфі, оқыс оқиғалардың жиілігі, сертификаттардың өзектілігі.

KRIs тәуекелдермен байланысады және шектен шығу кезінде эскалацияларды іске қосады.

8) Тәуекелдің өмірлік циклі (workflow)

1. Карточканы тіркеу → сәйкестендіру.
2. Бағалау (inherent) → бақылау маппингі → residual бағалау.
3. Өтініш бойынша шешім (treatment) және CAPA жоспары (күні/иелері).
4. KRIs/инциденттер мониторингі, карточканы жаңарту.
5. Тәуекелдер жөніндегі тоқсан сайынғы комитет: Top-N қайта қарау, тәбетті қайта белгілеу.
6. Жабу/біріктіру немесе бақылауға ауыстыру (watchlist).

9) Бақылаумен және аудитпен байланыс

Әрбір тәуекел нақты бақылауларға сілтеме жасауға тиіс («Ішкі бақылау және олардың аудитін» қараңыз):
  • Алдын алу: RBAC/ABAC, SoD, лимиттер, шифрлау, WebAuthn, сегментация.
  • Детективтік: SIEM/алерттар, салыстыру, WORM-логтар, UEBA.
  • Түзетуші: қайтару, төлемдерді бұғаттау, кілттерді қайтарып алу, шұғыл патчтар.
  • DE/OE аудитінде бақылаулардың тәбетке дейін тәуекелді төмендететіні және тұрақты жұмыс істейтіні тексеріледі.

10) Карточка үлгілері (YAML, фрагменттер)

10. 1 Вендорлық SDK (Tier-1) арқылы PII ағуы

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP деградациясы: төлемдерді авторизациялаудың сәтсіздігі

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Агрегаттау және портфельдік басқару

Top-N (Risk Register View): residual R және «тәбеттен жоғары» бойынша сұрыптау.
Тақырыптар (Risk Themes): кластерлер (вендорлар, құпиялылық, PSP) → тақырыптар иелері.
Өзара тәуелділік карталары: тәуекелдер, бақылаулар, вендорлар, процестер.
Сценарийлер мен стресс-тесттер: «PSP # 1 және KYC # 1 2 сағат қол жетімді болмаса?» - жиынтық залалды бағалау және іс-қимыл жоспары.
LEC (Loss Exceedance Curve): кеңес/борт үшін шығындардың жылдық профилі.

12) Эскалация табалдырықтары мен сигналдары

Operational: SLO/SLA бұзушылықтар → Incident P1/P2.
Compliance/Privacy: ретеншн асуы, DSAR сәтсіздігі, 'purpose' -сіз экспорт → DPO/Legal жедел өршуі.
Vendor: жеткізушіде қайталанған SLA-үзілістер → CAPA, шартты қайта қарау.
Financial: шығу chargeback> шегі → қолмен тексеру, лимиттерді/бонустарды түзету.

13) RACI (ірілендірілген)

БелсенділікBoard/CEORisk CommitteeRisk OwnerSecurity/PrivacyDomain OwnersData/BIInternal Audit
Тәуекелге деген тәбетARCCCII
Таксономия/шкалаIA/RCRCCI
Тізілімді жүргізуICA/RRRRI
Бағалау/жаңартуICA/RRRRI
ЭкскаляциялауIA/RRRRII
Аудит/тексерулерICCCCCA/R

14) Тәуекел-менеджмент жүйесінің өлшемдері (KPI/KRI)

Coverage: 100% қауіпті процестердің тіркелген тәуекелдері мен иелері бар.
Review On-time: ≥ 95% карточкалар мерзімінде қайта қаралды.
Above Appetite: ↓ QoQ тәбеттен жоғары тәуекелдер үлесі.
CAPA Closure (High/Critical): мерзімінде 95% ≥.
Detection Lag: KRI ауытқуынан эскалацияға дейінгі уақыт медианы (↓ ұмтылады).
Incident Recurrence: бір себеппен қайталанған оқиғалар - 0.

15) Чек парақтары

15. 1 Карточка жасау

  • Оқиғаның/себептердің санаты мен сипаттамасы
  • Активтер/процестер/юрисдикциялар белгіленді
  • Негіздемесімен P/I (inherent) және residual бағаланды
  • Бақылау маппингі (ID), KRIs және деректер көздері
  • САРА жоспары/мерзімі/иелері
  • Эскалация шегі және қауіп деңгейі

15. 2 Тоқсан сайынғы комитет

  • Residual және жоғары аппетит бойынша Top 10
  • Жаңа/эмерджент-тәуекелдер, заңдардың/вендорлардың өзгерістері
  • CAPA және кешіктіру мәртебесі
  • Шешімдер: қабылдау/төмендету/беру/болдырмау; тәбетті/табалдырықты жаңарту

16) Енгізу жол картасы (4-6 апта)

1-2 апталар: таксономияны, шәкілді, тәбетті бекіту; құралды таңдау (кесте/BI/IRM). Сыни процестер бойынша 10-15 бастапқы карточка жасау.
3-4 апталар: тәуекелдерді бақылаумен және KRIs-пен байланыстыру; жылу картасын/дашборд салу; тәуекелдер жөніндегі комитетті іске қосу.
5-6 апта: Top-5 үшін сандық бағалауды енгізу (FAIR/Monte Carlo light), KRIs жинауды автоматтандыру, эскалация мен бордтың есептілігін ресімдеу.

17) wiki байланысты бөлімдері

Ішкі бақылау және олардың аудиті, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM және SLA, Оқиғалар және ағулар, DR/BCP, Логтар және WORM саясаты - толық цикл үшін «тәуекел → бақылау → метрика → дәлелдер».

TL; DR

Тәуекелдердің жұмыс тізілімі = нақты таксономия + стандартталған шкала + тәбет/табалдырықтар → иелері бар карточкалар, бақылау және KRIs → жылу картасы және комитеттер → мерзімінде Top-тәуекелдер және CAPA үшін басым сандық бағалау. Бұл тәуекелдерді борт пен реттеуіштер үшін басқарылатын, салыстырмалы және дәлелденетін етеді.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.