Безопасность и комплаенс-сертификаты

Зачем это нужно

Сертификаты и аттестации подтверждают зрелые практики безопасности и сокращают цикл продаж (due diligence), открывая доступ к регулируемым рынкам и партнерам. Ключ — не «разово пройти аудит», а построить непрерывную систему управления с измеряемыми контрольными точками.

Карта ландшафта (что и когда выбирать)

ISO/IEC 27001 — система менеджмента информационной безопасности (ISMS). Универсальный «скелет» процессов.

Дополнения: ISO 27017 (облако), 27018 (privacy в облаке), 27701 (PIMS, приватность), 22301 (BCMS, устойчивость).
SOC 2 (AICPA): Type I (дизайн на дату) и Type II (дизайн + операционная эффективность за период, обычно 3–12 мес.). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (для обработки карт): уровни по объему операций, ROC/AOC с участием QSA, ежеквартальные ASV-сканы, пентесты и сегментация CHD-зоны.
CSA STAR (Level 1–3): декларация/аудит для облачных провайдеров и сервисов.
Дополнительно по доменам: ISO 20000 (ITSM), ISO 31000 (риск-менеджмент), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (отраслевое/финансы).
GDPR/приватность: «сертификата GDPR» как такового нет; применяют ISO 27701 и независимые оценки/кодексы поведения.

Сертификация vs аттестация

Сертификация (ISO): аккредитованный орган выдает сертификат на 3 года с ежегодными надзорными аудитами.
Аттестация (SOC 2): независимый аудитор выпускает отчет (opinion) за период; документ вы предоставляете клиентам под NDA.
PCI DSS: подтверждается ROC (Report on Compliance) и AOC (Attestation of Compliance), либо SAQ для меньших объемов.

Скоуп: как очертить границы

1. Активы и процессы: продукты, среды (prod/stage), регионы, дата-классы (PII/финансы/карты).
2. Техническая архитектура: облако, VPC/VNet, Kubernetes, CI/CD, секрет-менеджмент, DWH/аналитика.
3. Организационные зоны: офисы/удаленка, подрядчики, аутсорс-поддержка.
4. Поставщики (third parties): PSP, провайдеры контента, KYC/AML, облака — модель совместной ответственности.
5. Исключения: фиксируйте, почему вне скоупа, и компенсирующие меры.

Дорожная карта к «первому бейджу»

1. Gap-анализ против целей (27001/SOC 2/PCI).
2. Риск-менеджмент: методика, реестр рисков, план обработки, Statement of Applicability (ISO).
3. Политики и роли: политика ИБ/приватности, классификация данных, доступы (IAM), логирование, реагирование, BCM/DR.
4. Технические контроли: шифрование, сети (WAF/WAAP, DDoS), уязвимости/патчи, безопасная SDLC, бэкапы, мониторинг.
5. Доказательная база: регламенты, журналы, скриншоты, выгрузки, тикеты — храним версионированно.
6. Внутренний аудит / Readiness-оценка.
7. Внешний аудит: stage 1 (док-ревью) → stage 2 (эффективность/сэмплы). Для SOC 2 Type II — «период наблюдения».
8. Надзор/поддержание: ежеквартальные проверки контролей, ежегодные надзорные аудиты (ISO), ежегодное обновление SOC 2.

Матрица сопоставления контролей (фрагмент примера)

Что покажет аудитор (типовые запросы)

Доступы: отчеты из IdP/IAM, логи JML, ревью привилегий.
Секреты: политики KMS/Vault, история ротаций.
Сканирование уязвимостей: последние отчеты, тикеты ремедиации, сроки MTTP.
Журналы/алерты: кейсы инцидентов, MTTD/MTTR, пост-морты.
Поставщики: реестр, DPIA/DTIA (если PII), договорные меры, оценки рисков.
Обучение и тесты: фишинг-симуляции, тренинги ИБ, подтверждения.
BC/DR: результаты последних учений, RTO/RPO-факты.

Непрерывный контроль (Continuous Compliance)

Policy-as-Code: OPA/Gatekeeper/Kyverno для деплоев; «Enforce» на критичных правилах.
Continuous Control Monitoring (CCM): проверки каждые N минут/часов (шифрование бакетов, открытые порты, MFA-coverage).
GRC-система: реестр контролей, владельцы, задачи и сроки, привязка метрик.
Единый артефакт-хаб: «доказательства» (evidence) версионируются и помечаются контрольной точкой.
Автогенерация отчетов: SoA, Risk Register, Control Effectiveness, KPI/SLO по контролям.

Метрики и SLO для комплаенса

Coverage: % контролей с автоматической проверкой; % активов в скоупе.
Время реакции: p95 закрытия аудиторских запросов ≤ 5 рабочих дней.
Надежность: «контроль не в зеленой зоне» ≤ 1% времени в месяц.
Уязвимости: MTTP P1 ≤ 48 ч, P2 ≤ 7 дней; пентест-ремедиация ≤ 30 дней.
Обучение ИБ: покрытие персонала ≥ 98%, периодичность 12 мес.

Специфика для облака и Kubernetes

Облако: инвентаризация ресурсов (IaC), шифрование «на диске»/«в канале», журналирование (CloudTrail/Activity Logs), минимальные роли. Используйте сертификационные отчеты провайдеров (SOC 2, ISO, PCI) как часть «наследованной» защиты.
Kubernetes: RBAC по namespace, Admission-политики (подписи образов/SBOM, запрет `:latest`), сетевые политики, секреты вне etcd (KMS), аудит API-сервера, скан-профили для образов/кластеров.
Сети и периметр: WAF/WAAP, DDoS, сегментация, ZTNA вместо «широкого» VPN.

PCI DSS (уточнения для платежных сред)

Сегментация CHD-зоны: минимум систем в скоупе; мTLS к PSP; вэбхуки — с HMAC.
Ежеквартальные ASV-сканы и ежегодные пентесты (включая сегментацию).
Логи и целостность: FIM, неизменяемые журналы, «время под печатью» (NTP).
Документы: Политики, Диаграммы потока карт-данных, AOC/ROC, процедуры инцидентов.

Приватность (ISO 27701 + GDPR-подход)

Роли: контролер/процессор, реестр обработок, правовые основания.
DPIA/DTIA: оценка рисков приватности и трансграничных передач.
Права субъектов: SLA на ответы, технические средства поиска/удаления.
Минимизация/псевдонимизация: архитектурные паттерны и DLP.

Артефакты (готовые шаблоны — что держать «под рукой»)

Statement of Applicability (SoA) с мотивацией включения/исключения Annex A.
Control Matrix (ISO↔SOC2↔PCI) с владельцами и доказательствами.
Risk Register c методикой (impact/likelihood) и планом обработки.
BC/DR-планы + протоколы последних учений.
Secure SDLC пакет: чек-листы ревью, SAST/DAST отчеты, полис деплоя.
Supplier Due Diligence: анкеты (SIG Lite/CAIQ), оценки рисков, договорные меры.

Частые ошибки

«Аудит ради аудита»: нет живых процессов, только папки с политиками.
Слишком широкий скоуп: дорожает и усложняет поддержание; начинайте с «ядра ценности».
Ручной сбор доказательств: высокий операционный долг; автоматизируйте CCM и выгрузки.
Контроли без метрик: невозможно управлять (нет SLO/владельцев).
Забытый пост-сертификационный режим: нет ежеквартальных проверок → сюрпризы на надзоре.
Подрядчики вне контура: третьи стороны становятся источником инцидентов и «красной картой» на аудите.

Чек-лист готовности (сокращенно)

• Определен скоуп, активы, владельцы; карта данных и потоков.
• Реестр рисков, SoA (для ISO), Trust Services Criteria (для SOC 2) разложены по контролям.
• Политики, процедуры, обучение персонала выполнены и актуальны.
• Контроли автоматизированы (CCM), дашборды и алерты подключены.
• Доказательства по каждому контролю собраны/версионируются.
• Проведен внутренний аудит/Readiness; устранены критичные разрывы.
• Назначен аудитор/орган, согласован период наблюдения (SOC 2) или план Stage 1/2 (ISO).
• На месте пентест/ASV (PCI), план ремедиации и подтверждение фиксов.

Мини-шаблоны

Политика метрик для контролей (пример)

Контроль: «Все бакеты с PII зашифрованы KMS».
SLI: % бакетов с включенным шифрованием.
Цель: ≥ 99.9%.
Алерт: при падении < 99.9% более 15 минут → P2, владелец — Head of Platform.

Журнал доказательств (фрагмент)

Специфика для iGaming/финтех

Домены высокого риска: платежи/выплаты, антифрод, бэкофис, партнерские интеграции — приоритет в скоупе и контролях.
Метрики бизнеса: Time-to-Wallet, конверсия рег→депозит — учитывайте влияние защитных мер и аудитов.
Региональность: требования ЕС/ЛАТАМ/Азия — учет трансграничных передач, локальные регуляторы.
Поставщики контента/PSP: обязательные due diligence, мTLS/HMAC, правовые доп.соглашения по данным.

Итог

Сертификаты — это следствие дисциплины и автоматизации: риск-менеджмент, живые политики, измеримые контроли и постоянная готовность. Выберите правильный набор (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), очертите скоуп, автоматизируйте проверки (CCM/Policy-as-Code), держите артефакты в порядке и измеряйте SLO — так комплаенс станет предсказуемым и поддержит рост продукта, а не тормозом для него.