Безпека та комплаєнс-сертифікати

Навіщо це потрібно

Сертифікати та атестації підтверджують зрілі практики безпеки і скорочують цикл продажів (due diligence), відкриваючи доступ до регульованих ринків і партнерів. Ключ - не «разово пройти аудит», а побудувати безперервну систему управління з вимірюваними контрольними точками.

Карта ландшафту (що і коли вибирати)

ISO/IEC 27001 - система менеджменту інформаційної безпеки (ISMS). Універсальний «скелет» процесів.

Доповнення: ISO 27017 (хмара), 27018 (privacy в хмарі), 27701 (PIMS, приватність), 22301 (BCMS, стійкість).
SOC 2 (AICPA): Type I (дизайн на дату) і Type II (дизайн + операційна ефективність за період, зазвичай 3-12 міс.). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (для обробки карт): рівні за обсягом операцій, ROC/AOC за участю QSA, щоквартальні ASV-скани, пентести і сегментація CHD-зони.
CSA STAR (Level 1–3): декларація/аудит для хмарних провайдерів і сервісів.
Додатково по доменах: ISO 20000 (ITSM), ISO 31000 (ризик-менеджмент), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (галузеве/фінанси).
GDPR/приватність: «сертифіката GDPR» як такого немає; застосовують ISO 27701 і незалежні оцінки/кодекси поведінки.

Сертифікація vs атестація

Сертифікація (ISO): акредитований орган видає сертифікат на 3 роки зі щорічними наглядовими аудитами.
Атестація (SOC 2): незалежний аудитор випускає звіт (opinion) за період; документ ви надаєте клієнтам під NDA.
PCI DSS: підтверджується ROC (Report on Compliance) і AOC (Attestation of Compliance), або SAQ для менших обсягів.

Скоуп: Як окреслити межі

1. Активи та процеси: продукти, середовища (prod/stage), регіони, дата-класи (PII/фінанси/карти).
2. Технічна архітектура: хмара, VPC/VNet, Kubernetes, CI/CD, секрет-менеджмент, DWH/аналітика.
3. Організаційні зони: офіси/віддаленка, підрядники, аутсорс-підтримка.
4. Постачальники (third parties): PSP, провайдери контенту, KYC/AML, хмари - модель спільної відповідальності.
5. Винятки: фіксуйте, чому поза скоупа, і компенсуючі заходи.

Дорожня карта до «першого бейджу»

1. Gap-аналіз проти цілей (27001/SOC 2/PCI).
2. Ризик-менеджмент: методика, реєстр ризиків, план обробки, Statement of Applicability (ISO).
3. Політики та ролі: політика ІБ/приватності, класифікація даних, доступи (IAM), логування, реагування, BCM/DR.
4. Технічні контролі: шифрування, мережі (WAF/WAAP, DDoS), уразливості/патчі, безпечна SDLC, бекапи, моніторинг.
5. Доказова база: регламенти, журнали, скріншоти, вивантаження, тікети - зберігаємо версіоновано.
6. Внутрішній аудит/Readiness-оцінка.
7. Зовнішній аудит: stage 1 (док-рев'ю) → stage 2 (ефективність/семпли). Для SOC 2 Type II - «період спостереження».
8. Нагляд/підтримка: щоквартальні перевірки контролів, щорічні наглядові аудити (ISO), щорічне оновлення SOC 2.

Матриця зіставлення контролів (фрагмент прикладу)

Що покаже аудитор (типові запити)

Доступи: звіти з IdP/IAM, логи JML, рев'ю привілеїв.
Секрети: політики KMS/Vault, історія ротацій.
Сканування вразливостей: останні звіти, тікети ремедіації, терміни MTTP.
Журнали/алерти: кейси інцидентів, MTTD/MTTR, пост-морти.
Постачальники: реєстр, DPIA/DTIA (якщо PII), договірні заходи, оцінки ризиків.
Навчання та тести: фішинг-симуляції, тренінги ІБ, підтвердження.
BC/DR: результати останніх навчань, RTO/RPO-факти.

Безперервний контроль (Continuous Compliance)

Policy-as-Code: OPA/Gatekeeper/Kyverno для деплоїв; «Enforce» на критичних правилах.
Continuous Control Monitoring (CCM): перевірки кожні N хвилин/годин (шифрування бакетів, відкриті порти, MFA-coverage).
GRC-система: реєстр контролів, власники, завдання і терміни, прив'язка метрик.
Єдиний артефакт-хаб: «докази» (evidence) версіонуються і позначаються контрольною точкою.
Автогенерація звітів: SoA, Risk Register, Control Effectiveness, KPI/SLO по контролях.

Метрики та SLO для комплаєнсу

Coverage: % контролів з автоматичною перевіркою,% активів у скоупі.
Час реакції: p95 закриття аудиторських запитів ≤ 5 робочих днів.
Надійність: «контроль не в зеленій зоні» ≤ 1% часу на місяць.
Уразливості: MTTP P1 ≤ 48 год, P2 ≤ 7 днів; пентест-ремедіація ≤ 30 днів.
Навчання ІБ: покриття персоналу ≥ 98%, періодичність 12 міс.

Специфіка для хмари і Kubernetes

Хмара: інвентаризація ресурсів (IaC), шифрування «на диску »/» в каналі», журналювання (CloudTrail/Activity Logs), мінімальні ролі. Використовуйте сертифікаційні звіти провайдерів (SOC 2, ISO, PCI) як частину «успадкованого» захисту.
Kubernetes: RBAC по namespace, Admission-політики (підписи образів/SBOM, заборона':latest'), мережеві політики, секрети поза etcd (KMS), аудит API-сервера, скан-профілі для образів/кластерів.
Мережі та периметр: WAF/WAAP, DDoS, сегментація, ZTNA замість «широкого» VPN.

PCI DSS (уточнення для платіжних середовищ)

Сегментація CHD-зони: мінімум систем в скоупі; мTLS до PSP; вебхукі - з HMAC.
Щоквартальні ASV-скани і щорічні пентести (включаючи сегментацію).
Логи і цілісність: FIM, незмінні журнали, «час під друком» (NTP).
Документи: Політики, Діаграми потоку карт-даних, AOC/ROC, процедури інцидентів.

Приватність (ISO 27701 + GDPR-підхід)

Ролі: контролер/процесор, реєстр обробок, правові підстави.
DPIA/DTIA: оцінка ризиків приватності і транскордонних передач.
Права суб'єктів: SLA на відповіді, технічні засоби пошуку/видалення.
Мінімізація/псевдонімізація: архітектурні патерни і DLP.

Артефакти (готові шаблони - що тримати «під рукою»)

Statement of Applicability (SoA) з мотивацією включення/виключення Annex A.
Control Matrix (ISO↔SOC2↔PCI) з власниками та доказами.
Risk Register c методикою (impact/likelihood) і планом обробки.
BC/DR-плани + протоколи останніх навчань.
Secure SDLC пакет: чек-листи рев'ю, SAST/DAST звіти, поліс деплоя.
Supplier Due Diligence: анкети (SIG Lite/CAIQ), оцінки ризиків, договірні заходи.

Часті помилки

«Аудит заради аудиту»: немає живих процесів, тільки папки з політиками.
Занадто широкий скоуп: дорожчає і ускладнює підтримку; починайте з «ядра цінності».
Ручний збір доказів: високий операційний борг; автоматизуйте CCM і вивантаження.
Контролі без метрик: неможливо керувати (немає SLO/власників).
Забутий пост-сертифікаційний режим: немає щоквартальних перевірок → сюрпризи на нагляді.
Підрядники поза контуром: треті сторони стають джерелом інцидентів і «червоною картою» на аудиті.

Чек-лист готовності (скорочено)

• Визначено скоуп, активи, власники; карта даних і потоків.
• Реєстр ризиків, SoA (для ISO), Trust Services Criteria (для SOC 2) розкладені по контролях.
• Політики, процедури, навчання персоналу виконані і актуальні.
• Контролі автоматизовані (CCM), дашборди та алерти підключені.
• Докази по кожному контролю зібрані/версіонуються.
• Проведено внутрішній аудит/Readiness; усунуто критичні розриви.
• Призначений аудитор/орган, узгоджений період спостереження (SOC 2) або план Stage 1/2 (ISO).
• На місці пентест/ASV (PCI), план ремедіації і підтвердження фіксів.

Міні-шаблони

Політика метрик для контролів (приклад)

Контроль: «Всі бакети з PII зашифровані KMS».
SLI: % бакетів з включеним шифруванням.
Мета: ≥ 99. 9%.
Алерт: при падінні <99. 9% більше 15 хвилин → P2, власник - Head of Platform.

Журнал доказів (фрагмент)

Специфіка для iGaming/фінтех

Домени високого ризику: платежі/виплати, антифрод, бекофіс, партнерські інтеграції - пріоритет у скоупі та контролях.
Метрики бізнесу: Time-to-Wallet, конверсія reg→depozit - враховуйте вплив захисних заходів і аудитів.
Регіональність: вимоги ЄС/ЛАТАМ/Азія - облік транскордонних передач, локальні регулятори.
Постачальники контенту/PSP: обов'язкові due diligence, мTLS/HMAC, правові додаткові угоди за даними.

Підсумок

Сертифікати - це наслідок дисципліни та автоматизації: ризик-менеджмент, живі політики, вимірні контролі і постійна готовність. Виберіть правильний набір (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), окресліть скоуп, автоматизуйте перевірки (CCM/Policy-as-Code), тримайте артефакти в порядку і вимірюйте SLO - так комплаєнс стане передбачуваним і підтримає зростання продукту, а не гальмом для нього.