GH GambleHub

Зберігання доказів та документації

1) Мета і результати

Система зберігання доказів і документації забезпечує:
  • Юридично значущу незмінюваність артефактів (immutable evidence).
  • Трасування: хто, коли, чому створив/змінив/прочитав.
  • Готовність до аудиту «по кнопці» (реплікуються «audit pack»).
  • Дотримання приватності та ретенції (TTL, Legal Hold, видалення/анонімізація).
  • Єдиний контур прав і відповідальності (RACI) і метрик якості.

2) Таксономія артефактів (що вважаємо доказами)

Технічні: логи доступу та адмін-дій, висновки сканерів (SAST/DAST/SCA), звіти секрет-сканування, SOAR-журнали, дрейф IaC/хмари, бекапи конфігурацій, KMS/HSM-треки.
Операційні: тікети ITSM/інциденти/зміни, протоколи пост-мортем, акти DR/BCP-тестів, звіти ревізій доступу (re-cert).
Правові та регуляторні: політики/стандарти/SOP з журналом версій, DPA/SLA/аддендуми, повідомлення регуляторам, відповіді на запити, САРА/ремедіації.
Приватність і дані: реєстри обробок, DSAR-кейси, підтвердження видалення/анонімізації, графіки ретенції, журнали Legal Hold.
Вендори/треті сторони: результати Due Diligence, сертифікати (SOC/ISO/PCI), звіти пентестів, відповідність SLA.
Фінансово-контрольні: звіти AML/STR, ліміти та виключення, підтвердження SoD.

3) Принципи (design tenets)

Immutability by default: WORM/Object Lock, заборона перезапису в періоді зберігання.
Integrity & Authenticity: хеш-ланцюжки, мерклі-корені, цифровий підпис і мітки часу.
Minimal & Purpose-bound: тільки потрібні дані, псевдонімізація/маскування.
Case-based access: доступ по кейсу і ролі, з наскрізним журналом читання/експорту.
Policy-as-Code: ретенція/Legal Hold/класи артефактів - в репозиторії правил.
Auditability: відтворювані звіти і «audit pack» з хеш-квитанціями.

4) Ролі та RACI

РольВідповідальність
Evidence Platform Owner (A)Надійність, незмінюваність, бюджет, доступність
Compliance/GRC (R)Таксономія, правила ретенції/Legal Hold, «audit pack»
SecOps/DFIR (R)Цілісність, збір і фіксація артефактів по інцидентах
Data Platform (R)Каталоги/лінійність даних, вітрини звітності
Legal/DPO (C)Приватність, правові підстави, транскордонні аспекти
IAM/IGA (C)Ролі/SoD, ре-атестації доступу до архіву
Internal Audit (I)Незалежна верифікація процедур і вибірок

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Архітектура сховища (референс)

1. Зона прийому (ingest): надійна шина, mTLS, ретраї, дедуплікація, нормалізація метаданих (JSON).
2. Гаряче сховище: швидкий пошук/звіти (30-90 днів).
3. Холодне сховище: об'єктне/архівне (1-7 років), економ клас.
4. WORM/Object Lock-контур: незмінний архів доказів з політиками на бакет/об'єкт.
5. Цілісність: хеш-батчі, мерклі-дерева, періодичний анкеринг; Журнал перевірок.
6. Каталог/MDM артефактів: реєстр типів, схем, власників, TTL, ключових полів пошуку.
7. Доступ: RBAC/ABAC + case-based access; експорт з хеш-квитанцією; двочленний контроль для чутливих наборів.
8. Реплікація та DR: георозподіл, цілі RTO/RPO, регулярні перевірки відновлення.

6) Політики-як-код (YAML-приклад)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Ланцюжок зберігання (Chain of Custody)

Ідентифікація: унікальний ID об'єкта, джерело, версія схеми.
Фіксація: хеш SHA-256/512, підпис пакета, штамп часу.
Транспорт: журнал маніфестів (хто/коли завантажив/верифікував).
Доступ: облік всіх читань/експортів; посилання на кейс/тікет.
Звітність: хеш-квитанції, протоколи верифікацій, результати звірок.

8) Ретенція, Legal Hold і видалення

Графіки зберігання за класами артефактів і юрисдикцій.
Legal Hold при інцидентах/запитах регулятора - «заморожування» видалень.
Видалення по TTL - тільки після автоматичної перевірки відсутності активних Hold.
Звіт про видалення - список об'єктів + агреговане хеш-зведення.
Оффбординг вендора - дзеркальна ретенція, підтвердження знищення.

9) Приватність і мінімізація

Scope-мінімум: зберігати контекст, а не «повні payload».
Псевдонімізація/маскування чутливих полів; роздільні ключі ре-ідентифікації.
Доступ «по кейсу»: для DSAR/інциденту - тимчасові права з журналом.
Транскордонність: явні мітки країни зберігання/обробки; Контроль копій.

10) «Audit pack» (структура)

1. Опис організації та RACI.
2. Політики/стандарти/SOP (актуальні версії + changelog).
3. Карта систем і контролів + меппінг на норми/сертифікації.
4. Метрики KPI/KRI та звіти періоду.
5. Артефакти за вибіркою: логи, конфіги, скани, DR/BCP, ревізії доступу.
6. Vendor-досьє: DPA/SLA, сертифікати, пентест-звіти.
7. САРА/ремедіації: статус, докази закриття.
8. Хеш-квитанція пакета і журнал доступу до нього.

11) Метрики та SLO

Integrity Pass: 100% успішних перевірок хеш-ланцюжків.
Anchor Freshness p95: ≤ 2 години між анкерингами і верифікацією.
Coverage: ≥ 98% критичних систем в каталозі evidence.
Access Review SLA: 100% щомісячних реатестацій прав на архів.
Legal Hold Lag: ≤ 15 хвилин від події до установки Hold.
Export SLA («audit pack»): ≤ 8 годин на видачу повного набору.
PII Leak Rate: 0 критичних витоків в архівах.

12) Дашборди (мінімальний набір)

Integrity & WORM: статус анкерингу, Object Lock, помилки верифікацій.
Coverage & Catalog: охоплення класів артефактів, «дірки», сирітські об'єкти.
Access & Exports: хто що читав/вивантажував, аномалії, SoD-конфлікти.
Retention & Hold: таймери TTL, активні Legal Hold, графік видалень.
Vendor Mirror: стан дзеркальної ретенції у підрядників.
Audit Readiness: готовність «по кнопці» і час до SLA.

13) SOP (стандартні процедури)

SOP-1: Завантаження доказів

1. Реєстрація джерела → 2) нормалізація/схема → 3) хеш і підпис →

2. запис у WORM-зону → 5) верифікація та анкеринг → 6) оновлення каталогу.

SOP-2: Підготовка «audit pack»

Відкрити кейс → зібрати список артефактів за вибіркою → сформувати пакет → згенерувати хеш-квитанцію → legal review → видати через офіційний канал → записати доступ і копію в WORM.

SOP-3: Legal Hold

Ініціювати Hold → підв'язати класи/кейси → зупинити завдання видалення → повідомити власників → журналювати всі операції → зняти Hold за рішенням Legal.

SOP-4: Видалення по TTL

Перевірити активні Hold → видалити атомарно → випустити звіт з хеш-зведенням → оновити каталог.

SOP-5: Оффбординг вендора

Запит дзеркального звіту зберігання → експорт/передача → підтвердження знищення у вендора → верифікація та архів довідок.

14) Метадані артефакту (мінімум)

UID, клас, версія схеми, джерело, власник/контакти.
Дата/час створення та завантаження, юрисдикція/регіон зберігання.
Геш/підпис/мерклі-лист та історія верифікацій.
TTL і статус Legal Hold.
Посилання на пов'язані тікети/кейси/політики.
Історія доступів/експортів.

15) Перевірка цілісності (алгоритм)

Щоденна вибірка батчів → перерахунок хешів → звірка з мерклі-коренем → звіт про невідповідності → автоматична ескалація і «freeze» спірних сегментів до розслідування.

16) Якість і тестування

Schema compliance ≥ 99. 5% (відхилення → блокування прийому).
Disaster Restore Drills - квартальні тести відновлення архіву.
Reperformability - скрипти реперформу для аудиторів (відтворюваність звітів).
Versioned Playbooks - версіонування SOP і шаблонів «audit pack».

17) Антипатерни

Відсутність WORM/immutability → спірність доказів.
Сирий текст без схем → слабка пошук/валідність.
Немає каталогу і власників → «нічия» відповідальність.
Архів як «комора»: немає метрик/дашбордів, немає DR-тестів.
Вічні винятки (waivers) без дати закінчення.
Експорт без хеш-квитанції та журналу доступу.
Змішування прод-даних PI в артефактах без мінімізації.

18) Модель зрілості (M0-M4)

M0 Ручний: розрізнені папки, немає TTL/ланцюжка зберігання.
M1 Каталог: єдиний реєстр артефактів, базова ретенція.
M2 Керований: WORM/Object Lock, інтеграція з IAM, Legal Hold, дашборди.
M3 Assured: хеш-ланцюжки, анкеринг, case-based access, «audit pack» по кнопці.
M4 Continuous Assurance: автоматичні перевірки цілісності, прогнозні ризики, дзеркальна ретенція у вендорів, повні DR-навчання.

19) Пов'язані статті wiki

Ведення журналів і протоколів

Audit Trail: відстеження операцій

Legal Hold і заморожування даних

Графіки зберігання та видалення даних

Безперервний моніторинг відповідності (CCM)

KPI та метрики комплаєнсу

Due Diligence і ризики аутсорсингу

Управління змінами в політиці комплаєнсу

Взаємодія з регуляторами та аудиторами

Підсумок

Надійне зберігання доказів - це не просто «архів», а керована і доведено незмінна система: WORM і хеш-ланцюжки, суворі політики ретенції і Legal Hold, доступ «по кейсу», каталоги і метрики, відтворювані «audit pack» і регулярні перевірки цілісності. У такій системі аудит передбачуваний, розслідування швидкі, а ризики - під контролем.

Contact

Зв’яжіться з нами

Звертайтеся з будь-яких питань або за підтримкою.Ми завжди готові допомогти!

Розпочати інтеграцію

Email — обов’язковий. Telegram або WhatsApp — за бажанням.

Ваше ім’я необов’язково
Email необов’язково
Тема необов’язково
Повідомлення необов’язково
Telegram необов’язково
@
Якщо ви вкажете Telegram — ми відповімо й там, додатково до Email.
WhatsApp необов’язково
Формат: +код країни та номер (наприклад, +380XXXXXXXXX).

Натискаючи кнопку, ви погоджуєтесь на обробку даних.