SOC 2: қауіпсіздікті бақылау критерийлері

1) SOC 2 екі сөзбен

SOC 2 - ұйымның Trust Services Criteria (TSC) AICPA-ға сәйкес (Design) және (Operating) бақылауларды қалай жобалайтынын тәуелсіз бағалау.
iGaming-те бұл реттеушілердің/банктердің/PSP/әріптестердің сенімін арттырады және TPRM-ді жеңілдетеді.

• Type I - бір сәттік күй (нақты күнге): бақылаулар дұрыс жобаланған ба.
• Type II - кезең ішінде (әдетте 6-12 ай): бақылау тәжірибеде тұрақты жұмыс істейді ме (іріктемелермен).

2) Trust Services Criteria (TSC) және оларды қалай оқу керек

3) Басқару моделі және міндетті элементтер (Security - CC)

Governance & Risk: АҚ саясаты, тәуекел тізілімі, мақсаттары, рөлі/RACI, оқыту.
Access Control: RBAC/ABAC, SoD, JIT/PAM, парольдер/МFA, провиженинг SCIM/IGA, оффбординг ≤ 15 мин.
Change & SDLC: DevSecOps, SAST/DAST/DS, IaC-сканерлеу, CAB, деплоев журналдары, қайтарулар.
Logging & Monitoring: орталықтандырылған логтар (WORM + қолтаңба), SIEM/SOAR, KRI бойынша алерталар.
Vuln & Patch: анықтау/жіктеу процесі, SLA High/Critical, өрістетуді растау.
Incident Response: playbook, RACI, war-room, постмортемалар және CAPA.
Vendor/TPRM: due diligence, DPA/SLA, аудит құқығы, вендорлар мониторингі.

4) Кеңейтілген критерийлер (A, C, PI, P)

Availability (A)

SLO/SLA және дашбордтар; DR/BCP (RTO/RPO), жыл сайынғы тестілер; сыйымдылық/кроss-аймақ; қолжетімділік бойынша тосын оқиғалар процесі.

Confidentiality (C)

Деректерді жіктеу; at rest/in transit шифрлау (KMS/HSM); PII токенизациялау; экспортты бақылау (қолы, журналы); ретеншн.

Processing Integrity (PI)

Деректер сапасын бақылау: схемалар/валидация, дедупликация, reconciliation; міндеттерді іске қосуды бақылау; пайплайндардағы өзгерістерді басқару.

Privacy (P)

Құпиялылық саясаты; RoPA/заңды негіздері; ҚМЖ/келісім; DPIA/DSAR; бүркемелеу/ретеншн; трекерлер аудиті/SDK.

5) Mapping SOC 2 сіздің саясатыңыз/бақылауыңыз

ISO 27001/ISMS → CC негізін жабады (тәуекелдерді басқару, саясат, логи, осалдықтар).
ISO 27701/PIMS → көптеген Privacy критерийлерін жабады.
Ішкі бөлімдер: RBAC/Least Privilege, Парольдік саясат және MFA, Логин саясаты, Оқиғалар, TPRM, DR/BCP - тікелей TSC-ге түседі.

6) Бақылау каталогы және evidences мысалдары

Әрбір бақылау үшін: ID, мақсаты, иесі, жиілігі, әдісі (авто/қол), дәлелдеме көздері.

• 'SEC-ACCESS-01' - Әкімшілік қатынасуға арналған MFA → IdP-есеп, баптау скриншоттары, логтарды іріктеу.
• 'SEC-IGA-02' - Offboarding ≤ 15 мин → SCIM-логтар, жұмыстан шығу тикеттері, блоктау журналы.
• 'SEC-LOG-05' - Өзгермейтін журналдар (WORM) → конфигалар, хэш тізбектері, іріктемелер экспорты.
• 'AVAIL-DR-01' - Жыл сайынғы DR-тест → тест хаттамасы, нақты RTO/RPO.
• 'CONF-ENC-03' - KMS/HSM кілттерді басқару → ротация саясаты, KMS аудиті.
• 'PI-DATA-02' - Reconciliation төлемдер бойынша → есептер салыстыру, инциденттер, CAPA.
• 'PRIV-DSAR-01' - DSAR бойынша SLA → сұрау тізілімі, таймштамптар, жауап үлгілері.

7) SOC 2 ұстауға арналған рәсімдер (SOP)

SOP-1 Оқиғалар: жоба → triage → containment → RCA → CAPA → есеп.
SOP-2 Өзгерістерді басқару: PR → CI/CD → сканерлер → CAB → деплой → мониторинг → қайтару/фикстер.
SOP-3 Осалдықтар: intake → жіктеу → SLA → фикс верификациясы → есеп беру.
SOP-4 Рұқсаттар: JML/IGA, тоқсандық қайта сертификаттау, SoD-блоктар, JIT/PAM.
DR/BCP SOP-5: жыл сайынғы тесттер, ішінара жаттығулар, RTO/RPO фактілерін жариялау.
SOP-6 Экспорт/құпиялылық: ақ тізімдер, қолтаңба/журнал, ретеншн/жою.

8) Аудитке дайындық: Type I → Type II

1. TSC гэп-талдауы: жабындардың матрицасы, жетіспейтін бақылаулардың тізімі.
2. Саясат пен рәсімдер: өзектендіру, иелерін тағайындау.
3. evidence бірыңғай сақтау орны: логтар, IdP/SIEM есептері, тикеттер, таңдауларды экспорттау (қолтаңбалармен).
4. Internal Readiness Audit: аудитор сұрақнамасын басып өту, іріктемелерді белгілеу.
5. Type I (X күні): бақылау дизайнын және іске қосу фактісін көрсету.
6. Бақылау кезеңі (6-12 ай): артефактілерді үздіксіз жинау, олжаларды жабу.
7. Type II: кезеңдегі таңдауларды, операциялық тиімділік есебін ұсыну.

9) SOC 2 үшін метриктер (KPI/KRI)

• MFA adoption (әкімшілер/сындарлы рөлдер) = 100%
• Offboarding TTR ≤ 15 мин
• Patch SLA High/Critical мерзімінде 95% ≥ жабық
• DR-тесттер: жоспар-кестені орындау = 100%, нақты RTO/RPO қалыпты
• Coverage (WORM) ≥ 95% сындарлы жүйелер

• 'purpose' = 0 жоқ PII қатынасы
• SoD = 0 бұзушылықтары
• Инциденттер регламенттерден кейін хабарланған = 0
• High/Critical қайта осалдықтары> 5% - эскалация

10) RACI (ірілендірілген)

11) Чек парақтары

11. 1 Readiness (Type I алдында)

• Scope (TSC және жүйелер) тіркелген
• Саясат/рәсімдер өзекті және мақұлданды
• Бақылау және өлшеу иелері тағайындалды
• evidence-сақтау орнының прототипі дайын (логтар, IdP/SIEM есептері, тикеттер)
• Оқиға бойынша таблетка және DR-мини-тест жүргізілді
• Тәуекелдер мен SoD матрицасы расталды

11. 2 Бақылау кезеңі (I және II арасында)

• Апта сайынғы логтар іріктемесін/экспортын жинау
• KPI/KRI бойынша ай сайынғы есеп
• SLA жүйесінде осалдықтарды жабу
• Тоқсандық қайта сертификаттау
• DR/BCP тестілеу жоспарына сәйкес

11. Type II алдында 3

• Кезеңдегі evidence толық жиынтығы (әрбір бақылау бойынша)
• Инциденттер/осалдықтар және CAPA тізілімі
• Management Review есебі (кезең қорытындылары)
• Жаңартылған Mapping Matrix TSC бақылау

12) Жиі қателер және оларды болдырмау

«Тәжірибесіз саясаткерлер»: логтарды, тикеттерді, DR/инциденттер хаттамаларын көрсетіңіз - тек құжаттар ғана емес.
Әлсіз логика: WORM/қолтаңбаларсыз және оқиғалардың анық семантикасыз аудит күрделірек.
Құқықтарды қайта сертификаттау жоқ: «аспалы» қолжетімділік тәуекелі - сыни минус.
Толық емес вендорлар Scope: SOC 2 тізбекті көреді - TPRM, DPA/SLA, аудит құқықтарын қосыңыз.
Бір реттік рывок: ССМ/дашборд және ай сайынғы есептілікті енгізіңіз.

13) Жол картасы (12-16 апта → Type I, тағы 6-12 ай → Type II)

1-2 апта: TSC гэп-талдау, Scope, иелері, жұмыс жоспары.
3-4 апта: саясатты/процедураларды жаңарту, бақылау каталогын және маппинг матрицасын жинау.
5-6 апта: Логтарды баптау (WORM/қолтаңба), SIEM/SOAR, осалдықтар/SLA патчтары, IdP/MFA, IGA/JML.
7-8 апта: DR/BCP минималды тесттер, TPRM-жаңартулар (DPA/SLA), тосын оқиғаны дайындау.
9-10 апталар: evidence-сақтау орны, KPI/KRI есептілігі, ішкі readiness-аудит.
11-12 апталар: қорытынды түзетулер, аудитордың броньы, Type I.
Келесі: артефактілерді апта сайын жинау, кезең аяқталғаннан кейін тоқсандық ревью → Type II.

TL; DR

SOC 2 = анық Scope TSC → иелері мен өлшемдері бар бақылау каталогы → evidence бойынша Design & Operating → үздіксіз логтар/SIEM/IGA/DR/TPRM → Readiness → Type I → бақылау кезеңі → Type II. «әдепкі дәлелдеу» - және аудит күтпеген жерден өтеді.