GH GambleHub

Шаҳодатномаҳои бехатарӣ ва мувофиқат

Чаро ба шумо лозим аст?

Сертификатсия ва сертификатсия таҷрибаи баркамолро тасдиқ мекунанд ва давраи зарурии санҷишро кӯтоҳ мекунанд, дастрасиро ба бозорҳо ва шарикони танзимшаванда боз мекунанд. Калид ин аст, ки "як маротиба аудитро гузаред", балки сохтани системаи назорати муттасил бо нуқтаҳои назоратии ченшаванда.

Харитаи манзара (чӣ бояд интихоб кард ва кай)

ISO/IEC 27001 - Системаи идоракунии амнияти иттилоотӣ (ISMS). "Скелети" универсалии равандҳо.

Иловаҳо: ISO 27017 (абр), 27018 (махфият дар абр), 27701 (PIMS, махфият), 22301 (BCMS, устуворӣ).
SOC 2 (AICPA): Навъи I (тарроҳӣ барои сана) ва намуди II (тарроҳӣ + самаранокии амалиётӣ дар ин давра, одатан 3-12 моҳ). Меъёрҳои хадамоти эътимоднок: Амният, мавҷудият, коркарди якпорчагӣ, махфият, махфият.
PCI DSS (барои коркарди кортҳо): сатҳҳо аз рӯи ҳаҷми амалиёт, ROC/AOC бо иштироки QSA, сканҳои семоҳаи ASV, ҳашароти зараррасон ва сегментатсияи минтақаи CHD.
CSA STAR (Сатҳи 1-3): эъломия/аудит барои провайдерҳо ва хидматҳои абрӣ.
Ғайр аз он, доменҳо: ISO 20000 (ITSM), ISO 31000 (идоракунии хавфҳо), ISO 37001 (зидди ришва), TISAX/ISAE 3402 (саноат/молия).
GDPR/махфият: чунин "шаҳодатномаи GDPR" вуҷуд надорад; ISO 27701 ва арзёбиҳо/кодексҳои мустақили рафторро татбиқ кунед.

💡 Қоидаи интихоб: B2B SAA/fintech → ISO 27001 + SOC 2 Намуди II; Ҷараёнҳои пардохт/кортҳо → PCI DSS Кор бо PII → 27701 фокуси абрӣ → 27017/27018/CSA STAR.

Сертификатсия vs сертификатсия

Сертификатсия (ISO): мақомоти аккредитатсияшуда шаҳодатномаи 3-соларо бо аудити ҳарсолаи назоратӣ медиҳад.
Арзёбӣ (SOC 2): аудитори мустақил ҳисобот (афкор) барои давра медиҳад; шумо ҳуҷҷатро ба муштариён дар доираи NDA пешниҳод мекунед.
PCI DSS: аз ҷониби ROC (Ҳисобот дар бораи мувофиқат) ва AOC (Аттестатсияи мувофиқат) ё SAQ барои ҳаҷми хурдтар тасдиқ карда шудааст.

Ҳаҷм: чӣ гуна муайян кардани марзҳо

1. Дороиҳо ва равандҳо: маҳсулот, муҳит (прод/марҳила), минтақаҳо, синфҳои маълумот (PII/молия/харитаҳо).
2. Меъмории техникӣ: абр, VPC/VN et, Кубернетес, CI/CD, идоракунии махфӣ, DWH/таҳлил.
3. Минтақаҳои ташкилӣ: офисҳо/дурдаст, пудратчиён, дастгирии аутсорсинг.
4. Ҷонибҳои сеюм: PSP, провайдерҳои мундариҷа, KYC/AML, абрҳо - модели муштараки масъулият.
5. Истисноҳо: муайян кунед, ки чаро берун аз миқёс ва чораҳои ҷубронӣ.

Харитаи роҳ ба "нишони аввал"

1. Таҳлили гап дар муқобили ҳадафҳо (27001/SOC 2/PCI).
2. Идоракунии хавфҳо: методология, бақайдгирии хавфҳо, нақшаи коркард, Изҳороти татбиқ (ISO).
3. Сиёсатҳо ва нақшҳо: сиёсати амнияти иттилоотӣ/махфият, таснифи маълумот, дастрасӣ (IAM), сабти ном, вокуниш, BCM/DR.
4. Назорати техникӣ: рамзгузорӣ, шабакаҳо (WAF/WAAP, DD .OS), осебпазирӣ/часбҳо, SDLC-и бехатар, нусхабардорӣ, мониторинг.
5. Пойгоҳи далелҳо: қоидаҳо, маҷаллаҳо, скриншотҳо, боргузорӣ, чиптаҳо - мо версияҳоро нигоҳ медорем.
6. Аудити дохилӣ/Омодагӣ-арзёбӣ.
7. Аудити беруна: марҳилаи 1 (баррасии docking) → марҳилаи 2 (самаранокӣ/намунаҳо). Барои SOC 2 намуди II - "давраи мушоҳида".
8. Назорат/нигоҳдорӣ: Шарҳи семоҳаи назорат, аудити солонаи назорат (ISOs), навсозии солонаи SOC 2.

Матритсаи мутобиқати назоратӣ (Мисол фрагмент)

ДоменҳоISO 27001 Замимаи ASOC 2 TSCPCI DSSНавъи санҷиш/артефакт
Идоракунии дастрасӣA.5, A.9CC6. x7, 8RBAC/ABAC, JML, гузоришҳои SCIM, ҳуқуқи таҷдиди назар
РамзгузорӣA.8CC6. 1, CC6. 73KMS/HSM, TLS 1. 2 +/MTLS, сиёсати калидӣ
Осебпазирӣ/часбҳоA.12, A.14CC7. x6, 11. 3Сканҳо, MTTP, Ҳисоботҳои Pentest, ASV
Гузоришҳо/МониторингA.5, A.8, A.12CC7. x10SIEM/SOC, нигоҳдорӣ, огоҳиҳо ва RCA
BCM/DRA.5, A.17А1. x1222301-нақшаҳо, натиҷаҳои санҷиши DR

Аудитор чӣ нишон хоҳад дод (дархостҳои маъмулӣ)

Дастрасӣ: ҳисоботҳо аз IDP/IAM, гузоришҳои JML, баррасии имтиёзҳо.
Асрҳо: Сиёсати KMS/Vault, таърихи гардиш.
Сканкунии осебпазирӣ: гузоришҳои охирин, чиптаҳои барқарорсозӣ, мӯҳлатҳои MTTP.
Гузоришҳо/огоҳиҳо: ҳолатҳои ҳодиса, MTTD/MTTR, пас аз марг.
Таъминкунандагон: бақайдгирӣ, DPIA/DTIA (агар PII), чораҳои шартномавӣ, арзёбии хатарҳо.
Омӯзиш ва озмоишҳо: моделиронии фишинг, тренингҳои амнияти иттилоотӣ, тасдиқҳо.
BC/DR: Натиҷаҳои машқҳои охирин, далелҳои RTO/RPO.

Мувофиқати доимӣ

Policy-as-Code: OPA/Gatekeeper/Kyverno for Depleys; "Татбиқ" оид ба қоидаҳои интиқодӣ.
Мониторинги назорати доимӣ (CCM): ҳар як дақиқа/соат N-ро тафтиш мекунад (рамзгузории сатилҳо, бандарҳои кушод, фарогирии ВКХ).
Системаи GRC: бақайдгирии назорат, соҳибон, вазифаҳо ва мӯҳлатҳо, ченакҳои ҳатмӣ.
Маркази ягонаи артефакт: "далелҳо" санҷида шуда, бо нуқтаи гузаргоҳ қайд карда шудаанд.
Тавлиди худкори ҳисоботҳо: SoA, Феҳристи хатарҳо, Самаранокии назорат, KPI/SLO тавассути назорат.

Нишондиҳандаҳои мутобиқат ва SLO

Фарогирӣ:% идоракунӣ бо санҷиши автоматӣ;% дороиҳо дар миқёс.
Вақти посух: p95 бастани дархостҳои аудит ≤ 5 рӯзи корӣ.
Эътимоднокӣ: "назорат на дар минтақаи сабз" ≤ 1% вақт дар як моҳ.
Осебпазирӣ: MTTP P1 ≤ 48 соат, P2 ≤ 7 рӯз; барқароркунии пентест ≤ 30 рӯз.

Омӯзиши амнияти иттилоотӣ: фарогирии кормандон ≥ 98%, басомади 12 моҳ

Мушаххас ба абр ва Кубернетес

Абр: инвентаризатсияи захираҳо (Ia Ҳисоботҳои сертификатсияи провайдерро (SOC 2, ISO, PCI) ҳамчун як қисми муҳофизати "мероси" худ истифода баред.
Кубернетҳо: RBAC аз рӯи фазои ном, Сиёсати қабул (имзои тасвир/SBOM, манъи ': охирин'), сиёсати шабака, асрори берун аз etcd (KMS), аудити сервери API, профилҳои скан барои тасвирҳо/кластерҳо.
Шабакаҳо ва периметри: WAF/WAAP, DD .O, сегментатсия, ZTNA ба ҷои "васеъ" VPN.

PCI DSS (Такмилдиҳии ВАО пардохт)

Тақсимоти минтақаи CHD: системаҳои ҳадди аққал дар кластер; MTLS ба PSP; webhooks - бо HMAC.
Сканҳои семоҳаи ASV ва зараррасонҳои солона (аз ҷумла сегментатсия).
Гузоришҳо ва якпорчагӣ: FIM, гузоришҳои тағйирнопазир, вақт дар мӯҳр (NTP).
Ҳуҷҷатҳо: Сиёсатҳо, диаграммаҳои ҷараёни диаграмма, AOC/ROC, тартиботи ҳодисаҳо.

Махфият (равиши ISO 27701 + GDPR)

Нақшҳо: контролер/протсессор, феҳристи коркард, асосҳои ҳуқуқӣ.
DPIA/DTIA: арзёбии махфият ва хатарҳои интиқоли фаромарзӣ.
Ҳуқуқи субъектҳо: SLA барои ҷавобҳо, воситаҳои техникии ҷустуҷӯ/несткунӣ.
Ҳадди аққал/псевдонимизатсия: намунаҳои меъморӣ ва DLP.

Артефактҳо (қолабҳои тайёр - чӣ бояд нигоҳ дошт)

Изҳороти татбиқшаванда (SoA) бо ангезаи фарогирӣ/истисноӣ замима.
Матритсаи назоратӣ (ISO↔SOC2↔PCI) бо соҳибон ва далелҳо.
Феҳристи хавфҳо бо методология (таъсир/эҳтимолият) ва нақшаи коркард.
Нақшаҳои BC/DR + протоколҳои машқҳои охирин.
Бастаи бехатар SDLC: рӯйхатҳои назоратӣ, ҳисоботи SAST/DAST, сиёсати густариш.
Таҳвилгари боэътимод: саволномаҳо (SIG Lite/CAIQ), арзёбии хатарҳо, чораҳои шартномавӣ.

Хатогиҳои умумӣ

Аудит ба хотири аудит: равандҳои зинда нест, танҳо ҷузвдонҳои сиёсат.
Ҳаҷми хеле васеъ: гаронтар мешавад ва нигоҳдорӣ мушкилтар мешавад; оғоз аз "ядрои арзиш".
Ҷамъоварии далелҳои дастӣ: қарзи баланди амалиётӣ; автоматикунонии CCM ва боргузорӣ.
Назорат бидуни ченак: идора карда намешавад (SLO/соҳибон нест).
Низоми фаромӯшшудаи пас аз сертификатсия: санҷиши семоҳа § тааҷубовар оид ба назорат нест.
Пудратчиёни берун аз ҳалқа: шахсони сеюм манбаи ҳодисаҳо ва "корти сурх" дар аудит мешаванд.

Рӯйхати санҷиши омодагӣ (ихтисоршуда)

  • Ҳаҷм, дороиҳо, соҳибони муайяншуда; харитаи маълумот ва ҷараён.
  • Реестри хавфҳо, So-A (барои ISO), Меъёрҳои хизматрасониҳои эътимоднок (барои SOC 2) ба назорат пошида шуданд.
  • Сиёсатҳо, тартибот, таълими кормандон амалӣ карда мешаванд.
  • Назоратҳо автоматӣ (CCM) мебошанд, панелҳо ва огоҳиҳо пайваст карда мешаванд.
  • Далелҳо барои ҳар як назорат ҷамъоварӣ/санҷида мешаванд.
  • Аудити дохилӣ гузаронида шуд/Омодагӣ; танаффусҳои интиқодӣ бартараф карда мешаванд.
  • Аудитор/мақомоти таъиншуда, мӯҳлати назорат (SOC 2) ё Нақшаи Марҳилаи 1/2 (ISO) ба мувофиқа расиданд.
  • Дар сайти пентест/ASV (PCI), нақшаи барқарорсозӣ ва тасдиқи ислоҳот.

Қолибҳои хурд

Сиёсати ченкунӣ барои назорат (мисол)

Назорат: "Ҳама сатилҳои PII KMS рамзгузорӣ шудаанд".
SLI:% сатилҳо бо рамзгузорӣ фаъол мебошанд.
Мақсад: ≥ 99. 9%.
Ҳушдор: ҳангоми афтидан <99. 9% бештар аз 15 дақиқа → P2, молик - Сардори Платформа.

Сабти далелҳо (порча)

НазоратИсботБасомадЗахираМасъул
Воридшавӣ ба PIIСодироти SIEM дар 90 рӯзМоҳонаGRC/Маркази далелҳоПешбари SOC
Гардиши асрориСабти аудити Vault + чиптаи тағирёбандаҲафтаинаGRCПешбарии Deveops

IGaming/fintech мушаххас

Соҳаҳои дорои хавфи баланд: пардохтҳо/пардохтҳо, қаллобӣ, ақибмонӣ, ҳамгироии шарикон - афзалият дар мубориза ва назорат.
Андозагирии тиҷорат: Вақт ба ҳамён, табдилдиҳии reg → depozit - таъсири кафолатҳо ва аудитҳоро баррасӣ кунед.
Минтақа: Талаботи ИА/LATAM/Осиё - баҳисобгирии интиқоли фаромарзӣ, танзимгарони маҳаллӣ.
Провайдерҳои мундариҷа/PSP: санҷиши ҳатмии ҳатмӣ, MTLS/HMAC, иловаҳои ҳуқуқӣ ба маълумот.

Ҷамъ

Сертификатсия натиҷаи интизом ва автоматизатсия мебошад: идоракунии хавфҳо, сиёсати зиндагӣ, назорати ченшаванда ва омодагии давомдор. Маҷмӯи дурустро (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR) интихоб кунед, миқёсро муайян кунед, санҷишҳоро автоматӣ кунед (CCM/Policy-as-Code), артефактҳоро ба тартиб дароред ва SLO-ро чен кунед - ин роҳ пешгӯишаванда мегардад ва дастгирии афзоиши маҳсулот, на а тормоз дар он.

Contact

Тамос гиред

Барои саволҳо е дастгирӣ ба мо муроҷиат кунед.Мо ҳамеша омодаем!

Оғози интегратсия

Email — муҳим аст. Telegram е WhatsApp — ихтиерӣ.

Номи шумо ихтиерӣ
Email ихтиерӣ
Мавзӯъ ихтиерӣ
Паем ихтиерӣ
Telegram ихтиерӣ
@
Агар Telegram нависед — ҷавобро ҳамон ҷо низ мегиред.
WhatsApp ихтиерӣ
Формат: рамзи кишвар + рақам (масалан, +992XXXXXXXXX).

Бо фиристодани форма шумо ба коркарди маълумот розӣ ҳастед.