GH GambleHub

Қауіпсіздік және комплаенс-сертификаттар

Бұл не үшін қажет

Сертификаттар мен аттестациялар қауіпсіздіктің жетілген тәжірибелерін растайды және реттелетін нарықтар мен серіктестерге қолжетімділікті аша отырып, сату циклін (due diligence) қысқартады. Кілт - «аудиттен бір рет өту» емес, өлшенетін бақылау нүктелері бар үздіксіз басқару жүйесін құру.

Ландшафт картасы (нені және қашан таңдау керек)

ISO/IEC 27001 - ақпараттық қауіпсіздік менеджменті жүйесі (ISMS). Процестердің әмбебап «скелеті».

Толықтырулар: ISO 27017 (бұлт), 27018 (бұлттағы privacy), 27701 (PIMS, жекелік), 22301 (BCMS, тұрақтылық).
SOC 2 (AICPA): Type I (күнгі дизайн) және Type II (әдетте 3-12 ай кезеңіндегі дизайн + операциялық тиімділік). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (карталарды өңдеу үшін): операциялардың көлемі бойынша деңгейлер, QSA қатысуымен ROC/AOC, тоқсан сайынғы ASV-сканерлер, пентесттер және CHD-аймағының сегментациясы.
CSA STAR (Level 1-3): бұлтты провайдерлер мен сервистер үшін декларация/аудит.
Домендер бойынша қосымша: ISO 20000 (ITSM), ISO 31000 (тәуекел-менеджмент), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (салалық/қаржы).
GDPR/құпиялылық: «GDPR сертификаты» жоқ; ISO 27701 және тәуелсіз бағалау/мінез-құлық кодекстерін қолданады.

💡 Таңдау ережесі: B2B SaaS/финтех → ISO 27001 + SOC 2 Type II; төлем ағындары/карталары → PCI DSS; PII → 27701-мен тығыз жұмыс істеу; бұлт-фокус → 27017/27018/CSA STAR.

Сертификаттау vs аттестаттау

Сертификаттау (ISO): аккредиттелген орган жыл сайынғы қадағалау аудитімен 3 жылға сертификат береді.
Аттестаттау (SOC 2): тәуелсіз аудитор кезең үшін есеп (opinion) шығарады; құжатты NDA бойынша клиенттерге ұсынасыз.
PCI DSS: ROC (Report on Compliance) және AOC (Attestation of Compliance), не аз көлемдер үшін SAQ расталады.

Қапсырма: шекараны қалай сызу керек

1. Активтер мен процестер: өнімдер, орталар (prod/stage), өңірлер, күні-сыныптар (PII/қаржы/карталар).
2. Техникалық сәулет: бұлт, VPC/VNet, Kubernetes, CI/CD, құпия менеджмент, DWH/аналитика.
3. Ұйымдастыру аймақтары: офистер/қашық орналасу, мердігерлер, аутсорс-қолдау.
4. Жеткізушілер (third parties): PSP, контент провайдерлері, KYC/AML, бұлттар - бірлескен жауапкершілік моделі.
5. Ерекшеліктер: неге сатып алудан тыс және өтеу шараларын белгілеңіз.

Бірінші бейдждің жол картасы

1. Мақсаттарға қарсы Gap-талдау (27001/SOC 2/PCI).
2. Тәуекел-менеджмент: әдістеме, тәуекелдер тізілімі, өңдеу жоспары, Statement of Applicability (ISO).
3. Саясаттар мен рөлдер: АҚ/құпиялылық саясаты, деректерді жіктеу, қолжетімділік (IAM), логизация, әрекет ету, BCM/DR.
4. Техникалық бақылаулар: шифрлау, желілер (WAF/WAAP, DDoS), осалдықтар/патчтар, қауіпсіз SDLC, бэкаптар, мониторинг.
5. Дәлелдеу базасы: регламенттер, журналдар, скриншоттар, түсірулер, тикеттер - нұсқада сақтаймыз.
6. Ішкі аудит/Readiness-бағалау.
7. Сыртқы аудит: stage 1 (док-ревью) → stage 2 (тиімділігі/сэмплары). SOC 2 Type II үшін - «бақылау кезеңі».
8. Қадағалау/қолдау: тоқсан сайын тексерулер, жыл сайынғы қадағалау аудиттері (ISO), жыл сайынғы SOC жаңарту 2.

Бақылауларды салыстыру матрицасы (мысал фрагменті)

ДомендерISO 27001 Annex ASOC 2 TSCPCI DSSБақылау түрі/артефакт
Кіруді басқаруA.5, A.9CC6. x7, 8RBAC/ABAC, JML, SCIM логтары, revue құқықтары
ШифрлауA.8CC6. 1, CC6. 73KMS/HSM, TLS 1. 2 +/mTLS, негізгі саясаттар
Осалдықтар/патчтарA.12, A.14CC7. x6, 11. 3Сканерлер, MTTP, пентест-есептер, ASV
Логи/мониторингA.5, A.8, A.12CC7. x10SIEM/SOC, ретеншн, алерта және RCA
BCM/DRA.5, A.17A1. x1222301-жоспарлар, DR тестілеу нәтижелері

Аудитор не көрсетеді (үлгілік сұрау салулар)

Қол жетімділіктер: IdP/IAM, JML логтары, артықшылықтар шолу.
Құпиялар: KMS/Vault саясаты, ротация тарихы.
Осалдықтарды сканерлеу: соңғы есептер, ремедиация, MTTP мерзімдері.
Журналдар/алерттар: инциденттер кейстері, MTTD/MTTR, пост-морттар.
Жеткізушілер: тізілім, DPIA/DTIA (егер PII), шарттық шаралар, тәуекелдерді бағалау.
Оқыту және тестілер: фишинг-симуляциялар, АҚ тренингтері, растаулар.
BC/DR: соңғы оқу-жаттығулардың нәтижелері, RTO/RPO-фактілер.

Үздіксіз бақылау (Continuous Compliance)

Policy-as-Code: деплойлар үшін OPA/Gatekeeper/Kyverno; «Enforce» сыни ережелерге негізделген.
Continuous Control Monitoring (CCM): әрбір N минут/сағат сайын тексеру (бакеттерді шифрлау, ашық порттар, MFA-coverage).
GRC-жүйесі: бақылау тізілімі, иелері, міндеттері мен мерзімдері, метриктерді байланыстыру.
Бірыңғай артефакт-хаб: «дәлелдер» (evidence) нұсқаланады және бақылау нүктесімен белгіленеді.
Есептердің автогенерациясы: SoA, Risk Register, Control Effectiveness, KPI/SLO бақылау бойынша.

Комплаенс үшін метриктер мен SLO

Coverage:% автоматты тексерілген бақылаулар;% сатып алынған активтер.
Реакция уақыты: p95 аудиторлық сұрауларды жабу ≤ 5 жұмыс күні.
Сенімділік: «бақылау жасыл аймақта емес» ≤ айына 1% уақыт.
Осалдықтар: MTTP P1 ≤ 48 сағат, P2 ≤ 7 күн; пентест-ремедиация ≤ 30 күн.
АҚ оқыту: персоналды қамту ≥ 98%, кезеңділігі 12 ай.

Бұлт пен Kubernetes үшін ерекшелік

Бұлт: ресурстарды түгендеу (IaC), «дискіде »/» арнада» шифрлау, журналдау (CloudTrail/Activity Logs), ең аз рөлдер. «Мұрагерлік» қорғаудың бір бөлігі ретінде провайдерлердің сертификаттық есептерін (SOC 2, ISO, PCI) пайдаланыңыз.
Kubernetes: namespace бойынша RBAC, Admission-саясат (сурет қолтаңбалары/SBOM, тыйым 'latest'), желілік саясаткерлер, etcd тыс құпиялар (KMS), API-сервер аудиті, суреттер/кластерлер үшін сканерлік профильдер.
Желілер мен периметр: WAF/WAAP, DDoS, сегментация, «кең» VPN орнына ZTNA.

PCI DSS (төлем ортасы үшін нақтылаулар)

CHD-аймағының сегментациясы: сатып алудағы жүйелердің минимумы; mTLS PSP; вэбхуки - HMAC-пен.
Тоқсан сайынғы ASV-сканерлер және жыл сайынғы пентесттер (сегменттеуді қоса алғанда).
Логи және тұтастық: FIM, өзгермейтін журналдар, «басып шығару уақыты» (NTP).
Құжаттар: Саясат, Карта-деректер ағынының диаграммалары, AOC/ROC, оқыс оқиғалар рәсімдері.

Құпиялылық (ISO 27701 + GDPR-тәсіл)

Рөлдері: бақылаушы/процессор, өңдеу тізілімі, құқықтық негіздер.
DPIA/DTIA: құпиялылық және трансшекаралық беру тәуекелдерін бағалау.
Субъектілердің құқықтары: жауаптарға, техникалық іздеу/жою құралдарына SLA.
Минимизация/псевдонимизация: архитектуралық паттерндер және DLP.

Артефактілер (дайын үлгілер - «қолда» не ұстау керек)

Statement of Applicability (SoA) Annex А. қосу/шығару уәжімен

Control Matrix (ISO, SOC2, PCI) иелерімен және дәлелдемелерімен.
Risk Register әдістемесімен (impact/likelihood) және өңдеу жоспарымен.
BC/DR-жоспарлар + соңғы жаттығулардың хаттамалары.
Secure SDLC пакеті: ревью чек-парақтары, SAST/DAST есептер, деплой саясаты.
Supplier Due Diligence: сауалнамалар (SIG Lite/CAIQ), тәуекелдерді бағалау, шарттық шаралар.

Жиі қателер

«Аудит үшін аудит»: тірі процестер жоқ, тек саясаткерлері бар папкалар.
Тым кең сатып алу: қымбаттайды және қолдауды қиындатады; «құндылық өзегінен» бастаңыз.
Дәлелдемелерді қолмен жинау: жоғары операциялық борыш; CCM және түсіруді автоматтандырыңыз.
Метрикасыз бақылау: басқару мүмкін емес (SLO/иелері жоқ).
Ұмытылған пост-сертификаттау режимі: тоқсан сайынғы тексерулер жоқ → қадағалауда тосын сый.
Контурдан тыс мердігерлер: үшінші тараптар тосын оқиғалар көзіне және аудиттегі «қызыл картаға» айналады.

Дайындық чек-парағы (қысқаша)

  • Сатып алу, активтер, иелері анықталды; деректер мен ағындардың картасы.
  • Тәуекелдер тізілімі, SoA (ISO үшін), Trust Services Criteria (SOC 2 үшін) бақылаулар бойынша бөлінген.
  • Саясат, рәсімдер, персоналды оқыту орындалды және өзекті.
  • Бақылаулар автоматтандырылған (CCM), дашбордтар мен алаңдар қосылған.
  • Әрбір бақылау бойынша дәлелдемелер жинақталған/нұсқаланған.
  • Ішкі аудит/Readiness жүргізілді; сындарлы ажыраулар жойылды.
  • Аудитор/орган тағайындалды, бақылау кезеңі (SOC 2) немесе Stage 1/2 (ISO) жоспары келісілді.
  • Орнында пентест/ASV (PCI), ремедиация жоспары және фикстерді растау.

Шағын үлгілер

Бақылауға арналған метрика саясаты (мысал)

Бақылау: «PII бар барлық бакеттер KMS шифрланған».
SLI: шифрлау қосылған бакеттер%.
Мақсат: 99- ≥. 9%.
Алерт: құлаған кезде <99. 9% 15 минуттан астам → P2, иесі - Head of Platform.

Дәлелдемелер журналы (фрагмент)

БақылауДәлелЖиілікСақтау орныЖауапты
PII қатынасын логиндеу90 күнде SIEM экспортыАй сайынGRC/Evidence HubSOC Lead
Құпияларды алмастыруVault audit log + change ticketАпта сайынGRCDevOps Lead

iGaming/финтех ерекшелігі

Жоғары тәуекел домендері: төлемдер/төлемдер, антифрод, бэкофис, серіктестік интеграция - сатып алу мен бақылаудағы басымдық.
Бизнес өлшемдері: Time-to-Wallet, конверсия рег → депозит - қорғау шаралары мен аудиттің әсерін ескеріңіз.
Аймақтық: ЕО/ЛАТАМ/Азия талаптары - трансшекаралық берілістерді есепке алу, жергілікті реттегіштер.
Мазмұн жеткізушілер/PSP: міндетті due diligence, mTLS/HMAC, деректер бойынша құқықтық қосымша келісімдер.

Жиынтығы

Сертификаттар - бұл тәртіп пен автоматтандырудың салдары: тәуекел-менеджмент, тірі саясат, өлшенетін бақылау және ұдайы дайындық. Дұрыс жиынтықты таңдаңыз (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), сатып алуды сызыңыз, тексерулерді автоматтандырыңыз (CCM/Policy-as-Code), артефакттарды тәртіпте ұстаңыз және SLO өлшеңіз - осылайша комплаенс болжамды болады және өнімнің өсуін қолдайды, ол үшін тежегіш емес.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.