GH GambleHub

Хранение доказательств и документации

1) Цель и результаты

Система хранения доказательств и документации обеспечивает:
  • Юридически значимую неизменяемость артефактов (immutable evidence).
  • Трассируемость: кто, когда, почему создал/изменил/прочитал.
  • Готовность к аудиту «по кнопке» (реплицируемые «audit pack»).
  • Соблюдение приватности и ретенции (TTL, Legal Hold, удаление/анонимизация).
  • Единый контур прав и ответственности (RACI) и метрик качества.

2) Таксономия артефактов (что считаем доказательствами)

Технические: логи доступа и админ-действий, выводы сканеров (SAST/DAST/SCA), отчеты секрет-сканирования, SOAR-журналы, дрейф IaC/облака, бэкапы конфигураций, KMS/HSM-треки.
Операционные: тикеты ITSM/инциденты/изменения, протоколы пост-мортем, акты DR/BCP-тестов, отчеты ревизий доступа (re-cert).
Правовые и регуляторные: политики/стандарты/SOP с журналом версий, DPA/SLA/аддендумы, уведомления регуляторам, ответы на запросы, CAPA/ремедиации.
Приватность и данные: реестры обработок, DSAR-кейсы, подтверждения удаления/анонимизации, графики ретенции, журналы Legal Hold.
Вендоры/третьи стороны: результаты Due Diligence, сертификаты (SOC/ISO/PCI), отчеты пентестов, соответствие SLA.
Финансово-контрольные: отчеты AML/STR, лимиты и исключения, подтверждения SoD.

3) Принципы (design tenets)

Immutability by default: WORM/Object Lock, запрет перезаписи в периоде хранения.
Integrity & Authenticity: хеш-цепочки, меркли-корни, цифровая подпись и метки времени.
Minimal & Purpose-bound: только нужные данные, псевдонимизация/маскирование.
Case-based access: доступ по кейсу и роли, со сквозным журналом чтения/экспорта.
Policy-as-Code: ретенция/Legal Hold/классы артефактов — в репозитории правил.
Auditability: воспроизводимые отчеты и «audit pack» с хеш-квитанциями.

4) Роли и RACI

РольОтветственность
Evidence Platform Owner (A)Надежность, неизменяемость, бюджет, доступность
Compliance/GRC (R)Таксономия, правила ретенции/Legal Hold, «audit pack»
SecOps/DFIR (R)Целостность, сбор и фиксация артефактов по инцидентам
Data Platform (R)Каталоги/линейность данных, витрины отчетности
Legal/DPO (C)Приватность, правовые основания, трансграничные аспекты
IAM/IGA (C)Роли/SoD, ре-аттестации доступа к архиву
Internal Audit (I)Независимая верификация процедур и выборок

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Архитектура хранилища (референс)

1. Зона приема (ingest): надежная шина, mTLS, ретраи, дедупликация, нормализация метаданных (JSON).
2. Горячее хранилище: быстрый поиск/отчеты (30–90 дней).
3. Холодное хранилище: объектное/архивное (1–7 лет), эконом класс.
4. WORM/Object Lock-контур: неизменяемый архив доказательств с политиками на бакет/объект.
5. Целостность: хеш-батчи, меркли-деревья, периодический анкеринг; журнал проверок.
6. Каталог/MDM артефактов: реестр типов, схем, владельцев, TTL, ключевых полей поиска.
7. Доступ: RBAC/ABAC + case-based access; экспорт с хеш-квитанцией; двухчленный контроль для чувствительных наборов.
8. Репликация и DR: геораспределение, цели RTO/RPO, регулярные проверки восстановления.

6) Политики-как-код (YAML-пример)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Цепочка хранения (Chain of Custody)

Идентификация: уникальный ID объекта, источник, версия схемы.
Фиксация: хеш SHA-256/512, подпись пакета, штамп времени.
Транспорт: журнал манифестов (кто/когда загрузил/верифицировал).
Доступ: учет всех чтений/экспортов; ссылка на кейс/тикет.
Отчетность: хеш-квитанции, протоколы верификаций, результаты сверок.

8) Ретенция, Legal Hold и удаление

Графики хранения по классам артефактов и юрисдикциям.
Legal Hold при инцидентах/запросах регулятора — «заморозка» удалений.
Удаление по TTL — только после автоматической проверки отсутствия активных Hold.
Отчет об удалении — список объектов + агрегированная хеш-сводка.
Оффбординг вендора — зеркальная ретенция, подтверждение уничтожения.

9) Приватность и минимизация

Scope-минимум: хранить контекст, а не «полные payload».
Псевдонимизация/маскирование чувствительных полей; раздельные ключи ре-идентификации.
Доступ «по кейсу»: для DSAR/инцидента — временные права с журналом.
Трансграничность: явные метки страны хранения/обработки; контроль копий.

10) «Audit pack» (структура)

1. Описание организации и RACI.
2. Политики/стандарты/SOP (актуальные версии + changelog).
3. Карта систем и контролей + мэппинг на нормы/сертификации.
4. Метрики KPI/KRI и отчеты периода.
5. Артефакты по выборке: логи, конфиги, сканы, DR/BCP, ревизии доступа.
6. Vendor-досье: DPA/SLA, сертификаты, пентест-отчеты.
7. CAPA/ремедиации: статус, доказательства закрытия.
8. Хеш-квитанция пакета и журнал доступа к нему.

11) Метрики и SLO

Integrity Pass: 100% успешных проверок хеш-цепочек.
Anchor Freshness p95: ≤ 2 часа между анкерингами и верификацией.
Coverage: ≥ 98% критичных систем в каталоге evidence.
Access Review SLA: 100% ежемесячных ре-аттестаций прав на архив.
Legal Hold Lag: ≤ 15 минут от события до установки Hold.
Export SLA («audit pack»): ≤ 8 часов на выдачу полного набора.
PII Leak Rate: 0 критических утечек в архивах.

12) Дашборды (минимальный набор)

Integrity & WORM: статус анкеринга, Object Lock, ошибки верификаций.
Coverage & Catalog: охват классов артефактов, «дыры», сиротские объекты.
Access & Exports: кто что читал/выгружал, аномалии, SoD-конфликты.
Retention & Hold: таймеры TTL, активные Legal Hold, график удалений.
Vendor Mirror: состояние зеркальной ретенции у подрядчиков.
Audit Readiness: готовность «по кнопке» и время до SLA.

13) SOP (стандартные процедуры)

SOP-1: Загрузка доказательств

1. Регистрация источника → 2) нормализация/схема → 3) хеш и подпись →

2. запись в WORM-зону → 5) верификация и анкеринг → 6) обновление каталога.

SOP-2: Подготовка «audit pack»

Открыть кейс → собрать список артефактов по выборке → сформировать пакет → сгенерировать хеш-квитанцию → legal review → выдать через официальный канал → записать доступ и копию в WORM.

SOP-3: Legal Hold

Инициировать Hold → подвязать классы/кейсы → остановить задания удаления → уведомить владельцев → журналировать все операции → снять Hold по решению Legal.

SOP-4: Удаление по TTL

Проверить активные Hold → удалить атомарно → выпустить отчет с хеш-сводкой → обновить каталог.

SOP-5: Оффбординг вендора

Запрос зеркального отчета хранения → экспорт/передача → подтверждение уничтожения у вендора → верификация и архив справок.

14) Метаданные артефакта (минимум)

UID, класс, версия схемы, источник, владелец/контакты.
Дата/время создания и загрузки, юрисдикция/регион хранения.
Хеш/подпись/меркли-лист и история верификаций.
TTL и статус Legal Hold.
Ссылки на связанные тикеты/кейсы/политики.
История доступов/экспортов.

15) Проверка целостности (алгоритм)

Ежедневная выборка батчей → пересчет хешей → сверка с меркли-корнем → отчет о несоответствиях → автоматическая эскалация и «freeze» спорных сегментов до расследования.

16) Качество и тестирование

Schema compliance ≥ 99.5% (отклонения → блокировка приема).
Disaster Restore Drills — квартальные тесты восстановления архива.
Reperformability — скрипты реперформа для аудиторов (воспроизводимость отчетов).
Versioned Playbooks — версионирование SOP и шаблонов «audit pack».

17) Антипаттерны

Отсутствие WORM/immutability → спорность доказательств.
Сырой текст без схем → слабая поиск/валидность.
Нет каталога и владельцев → «ничья» ответственность.
Архив как «кладовка»: нет метрик/дашбордов, нет DR-тестов.
Вечные исключения (waivers) без даты истечения.
Экспорт без хеш-квитанции и журнала доступа.
Смешение прод-данных PI в артефактах без минимизации.

18) Модель зрелости (M0–M4)

M0 Ручной: разрозненные папки, нет TTL/цепочки хранения.
M1 Каталог: единый реестр артефактов, базовая ретенция.
M2 Управляемый: WORM/Object Lock, интеграция с IAM, Legal Hold, дашборды.
M3 Assured: хеш-цепочки, анкеринг, case-based access, «audit pack» по кнопке.
M4 Continuous Assurance: автоматические проверки целостности, прогнозные риски, зеркальная ретенция у вендоров, полные DR-учения.

19) Связанные статьи wiki

Ведение журналов и протоколов

Audit Trail: отслеживание операций

Legal Hold и заморозка данных

Графики хранения и удаления данных

Непрерывный мониторинг соответствия (CCM)

KPI и метрики комплаенса

Due Diligence и риски аутсорсинга

Управление изменениями в политике комплаенса

Взаимодействие с регуляторами и аудиторами

Итог

Надежное хранение доказательств — это не просто «архив», а управляемая и доказуемо неизменяемая система: WORM и хеш-цепочки, строгие политики ретенции и Legal Hold, доступ «по кейсу», каталоги и метрики, воспроизводимые «audit pack» и регулярные проверки целостности. В такой системе аудит предсказуем, расследования быстры, а риски — под контролем.

Contact

Свяжитесь с нами

Обращайтесь по любым вопросам или за поддержкой.Мы всегда готовы помочь!

Начать интеграцию

Email — обязателен. Telegram или WhatsApp — по желанию.

Ваше имя необязательно
Email необязательно
Тема необязательно
Сообщение необязательно
Telegram необязательно
@
Если укажете Telegram — мы ответим и там, в дополнение к Email.
WhatsApp необязательно
Формат: +код страны и номер (например, +380XXXXXXXXX).

Нажимая кнопку, вы соглашаетесь на обработку данных.