Tavakkalchiliklar reyestri va baholash metodologiyasi

1) Reyestrga nima va nima kiradi

Maqsad: pul (GGR/CF), litsenziyalar, o’yinchilar, ma’lumotlar va obro’ga ta’sir qiluvchi tavakkalchiliklarni tavsiflash, baholash, ustuvorlik qilish va monitoring qilishning yagona tizimi.
Qamrov: mahsulot/muhandislik (SDLC/hodisalar), moliya va to’lovlar (PSP/xulosalar), KYC/AML/sanksiyalar, maxfiylik (GDPR), TPRM/vendorlar, marketing/SDK, ma’lumotlar (DWH/BI), infratuzilma/bulutlar/DR, sapport va VIP operatsiyalari.

2) Tavakkalchiliklar taksonomiyasi (misol)

Axborot xavfsizligi va maxfiylik: PII/KYC sizib chiqishi, ruxsatsiz kirish, noto’g "ri loging, DSAR-fayllar.
Tartibga solish/komplayens: litsenziya shartlari buzilishi, AML/KYC/sanksiyalar, reklama taqiqlari.
Operatsion/texnologik: downtaym PSP/KYC, reliz nuqsoni, latency degradatsiyasi, DR hodisalari.
Firibgarlik/suiiste’molchilik: frod-depozitlar, bonusli abuz, to’lovli hujum qiluvchi patternlar.
Moliyaviy: sheriklarning likvidligi, chargeback-shoklar, bitta PSPda konsentratsiya.
Vendor/ta’minot zanjiri: zaif SDK, past TOMSli subprotsessorlar.
Obro’li/mijozlar: shikoyatlarning ko’payishi, NPS pasayishi, RG buzilishi.
Strategik/geosiyosiy: sanksiyalar, soliqlar/qonunlarni o’zgartirish, trafikni blokirovka qilish.

3) Tavakkalchilik kartochkasi (majburiy maydonlar)

ID/Tavakkalchilik nomi

Kategoriya (taksonomiyadan)

Hodisaning tavsifi (nima bo’lishi mumkin) va sabablari

Ta’sir ostidagi aktivlar/jarayonlar/yurisdiksiya

Tavakkalchilik egasi (Risk Owner) va kurator (Sponsor)

Mavjud nazorat (preventiv/detektiv/tuzatuvchi)

Ehtimollik (P) va Ta’siri (I) to nazoratgacha (inherent)

Nazoratdan keyingi qoldiq tavakkalchilik (residual)

Murojaat rejasi (treatment): kamaytirish/oldini olish/qabul qilish/topshirish

Eskalatsiya chegarasi/xavf darajasi (Low/Medium/High/Critical)

KRIs va triggerlar, metriklar va ma’lumotlar manbalari

SARA bilan bog’liq maqom va muddat (Next Review)

Nazorat (ID) reyestri va siyosatchilar bilan aloqa

Auditor/qo’mitalarning sharhlari (so’nggi qarorlar)

4) Baholash shkalalari (andoza bo’yicha 5 × 5)

4. 1 Ehtimollik (P)

1 - Kamdan-kam hollarda (<1/5 yil)

2 - Past (1/2-5 yil)

3 - O’rta (har yili)

4 - Yuqori (chorak)

5 - Juda yuqori (oy/ko’proq)

4. 2 Ta’sir (I) - eng ko’p shoxlarni tanlash

Moliya: 1: <€10k· 2: €10-100k· 3: €100k-1m· 4: €1-5m· 5:> €5m

Maxfiylik/maʼlumotlar: 1: <1k yozuvlar·...· 5:> 1M yozuvlar/maxsus toifalar

Regulyator/litsenziya: 1: ogohlantirish· 3: jarima/tekshirish· 5: litsenziyani to’xtatib turish

Foydalanish imkoniyati (SLO/SLA): 1: <15 min·...· 5:> Kritik zonalar uchun 8 soat

Yakuniy ball:’R = P × I’→ darajalar: 1-5 Low, 6-10 Medium, 12-16 High, 20-25 Critical.

(Ostonalarni kompaniyaga moslashtirish mumkin.)

5) Issiqlik kartasi matritsasi va tavakkalchilikka ishtaha

Risk Appetite: domenlar bo’yicha ruxsatnomali hujjat (masalan, PII oqishi - nol bag’rikenglik; downtaym P95 - ≤ X min/oy; chargeback rate — ≤ Y%).
Heatmap: 5 × 5 ga R vizualizatsiya; ishtahadan yuqori - CAPA rejasi va muddatlarini talab qiladi.
Risk Budget: asoslantirilgan «qabul qilinadigan» tavakkalchiliklarga kvotalar (iqtisodiy maqsadga muvofiqlik).

6) Baholash metodologiyasi

6. 1 Sifatli (tezkor boshlash)

P/I shkalalari bo’yicha ekspert baholari + asoslash, hodisalar tarixi va KRIs ma’lumotlari bilan solishtirish.

6. 2 Miqdor (ustuvor ravishda Top-10 uchun)

FAIR yondashuvi (soddalashtirilgan): hodisalarning chastotasi × zararning ehtimoliy taqsimoti (P10/P50/P90); pasayish variantlarini solishtirish uchun foydalidir.
Monte Carlo (1000-10k progonlar): zarar va chastotaning o’zgaruvchanligi → Loss Exceedance Curve (yo’qotish ehtimoli> X).
TRA (Targeted Risk Analysis): monitoring/nazorat chastotalarini tanlash uchun nuqtaviy tahlil (PCI/vendorlar uchun dolzarbdir).

7) KRIs va manbalar

• Foydalanish imkoniyati: MTTR, 5xx xatolari, P95 latency, P1/P2 hodisalari, avtoskeyl%, klaster sig’imi.
• Xavfsizlik/maxfiylik:% MFA coverage, credential stuffing urinishlari, noodatiy eksportlar, DSAR SLA, anti-malvar bayroqlari.
• To’lovlar: PSP bo’yicha auth rate, chargeback rate, bankning ishdan chiqishi, qo’l kassautlari ulushi.
• KYC/AML: TAT, false positive rate, sanksiya xitlari, eskalatsiyalar ulushi.
• Vendorlar: SLA compliance, latentlik dreyfi, hodisalar chastotasi, sertifikatlarning dolzarbligi.

KRIs xavflar bilan bog’lanadi va chegaradan chiqishda eskalatsiyalarni boshlaydi.

8) Xavfning hayot sikli (workflow)

1. Kartochkani identifikatsiyalash → ro’yxatdan o’tkazish.
2. Baholash (inherent) → mapping nazoratlari → baholash residual.
3. Murojaat bo’yicha qaror (treatment) va CAPA rejasi (sana/egalari).
4. KRIs/hodisalar monitoringi, kartochkalarni yangilash.
5. Tavakkalchiliklar bo’yicha har choraklik qo’mita: Top-N ni qayta ko’rib chiqish, ishtahani qayta belgilash.
6. Yopish/birlashtirish yoki kuzatishga o’tkazish (watchlist).

9) Nazorat va audit bilan aloqa

• Preventiv: RBAC/ABAC, SoD, limitlar, shifrlash, WebAuthn, segmentatsiya.
• Detektiv: SIEM/alertlar, solishtirmalar, WORM-loglar, UEBA.
• Tuzatuvchi: qaytarmalar, to’lovlarni blokirovka qilish, kalitlarni chaqirib olish, shoshilinch patchlar.
• DE/OE auditida nazorat qilish ishtahani kamaytirishi va barqaror ishlashini tekshiradi.

10) Kartochkalar namunalari (YAML, parchalar)

10. 1 Vendor SDK (Tier-1) orqali PII oqishi

yaml id: R-PRIV-001 title: "Утечка PII через SDK маркетинга"
category: privacy/vendor assets: [pii_profiles, sdk_mobile]
owner: privacy_lead inherent:
likelihood: 3 impact: 5  # >1M записей / регуляторные штрафы controls:
preventive: [cmp_enforced, data_minimization, sdk_allowlist, tokenization]
detective: [worm_logs, export_signing, siem_anomaly_exports]
corrective: [sdk_kill_switch, key_rotation, incident_comm_plan]
residual:
likelihood: 2 impact: 4 treatment: reduce kri:
- name: "Anomalous export volume"
threshold: ">P99 baseline"
- name: "SDK version drift"
threshold: "N-1 only"
status: active next_review: 2026-01-15

10. 2 PSP degradatsiyasi: to’lovlarni avtorizatsiya qilish muvaffaqiyatsiz tugadi

yaml id: R-PAY-007 title: "Падение конверсии авторизации у PSP#1"
category: payments/availability owner: head_of_payments inherent: {likelihood: 4, impact: 4}
controls:
preventive: [multi_psp_routing, rate_limits, timeout_policies]
detective: [auth_rate_dashboard, p95_latency_alerts]
corrective: [failover_to_psp2, traffic_shaping, incident_swar_rm]
residual: {likelihood: 2, impact: 3}
kri:
- name: "Auth rate PSP1"
threshold: "< baseline-3σ for 15m"
escalation: "Incident P1 if <X% for 30m"

11) Agregatsiyalash va portfelni boshqarish

Top-N (Risk Register View): residual R va «ishtahadan yuqori» bo’yicha saralash.
Mavzular (Risk Themes): klastyerlar (sotuvchilar, maxfiylik, PSP) → mavzular egalari.
O’zaro bog’liqlik xaritalari: xavf-xatarlar, nazoratchilar, vendorlar, jarayonlar.
Ssenariylar va stress testlari: «PSP # 1 va KYC # 1 2 soatlab mavjud bo’lmasa nima bo’ladi?» - jami zararni baholash va harakatlar rejasi.
LEC (Loss Exceedance Curve): kengash/bord uchun yillik yoʻqotish profili.

12) Eskalatsiya ostonalari va signallar

Operational: SLO/SLA qoidabuzarliklar → Incident P1/P2.
Compliance/Privacy: retenshn ortiqcha, DSAR muvaffaqiyatsizligi, eksport’purpose’→ darhol DPO/Legal eskalatsiyasi.
Vendor: etkazib beruvchida takroriy SLA-uzilishlar → CAPA, shartnomani qayta ko’rib chiqish.
Financial: chargeback> chegara → qo’lda tekshirish, limitlar/bonuslarni tuzatish.

13) RACI (yiriklashtirilgan holda)

14) Tavakkalchilik-menejment tizimi metrikasi (KPI/KRI)

Coverage: 100% tanqidiy jarayonlar qayd etilgan xavf-xatarlarga va egalariga ega.
Review On-time: ≥ kartochkalarning 95 foizi muddatida qayta koʻrib chiqildi.
Above Appetite: ↓ QoQ tavakkalchilik ulushi ishtahadan yuqori.
CAPA Closure (High/Critical): muddatida 95% ≥.
Detection Lag: KRI dan eskalatsiyagacha boʻlgan vaqt medianasi (↓ ga intiladi).
Incident Recurrence: bir sababga koʻra takroriy hodisalar - 0.

15) Chek-varaqlar

15. 1 Kartochka yaratish

• Hodisa/sabablarning toifasi va tavsifi
• Aktivlar/jarayonlar/yurisdiksiyalar
• P/I (inherent) va residual asoslari bilan baholandi
• Mapping nazorati (ID), KRIs va ma’lumotlar manbalari
• SARA rejasi/muddatlari/egalari
• Eskalatsiya chegarasi va tahdidlar darajasi

15. 2 Har choraklik qo’mita

• Eng yaxshi 10 ta residual va undan yuqori ishtaha
• Yangi/emerjent-xavflar, qonunlar/vendorlarning o’zgarishlari
• CAPA va kechikish holati
• Qarorlar: qabul qilish/kamaytirish/topshirish/oldini olish; ishtaha/chegarani yangilash

16) Joriy etish yo’l xaritasi (4-6 hafta)

1-2 haftalar: taksonomiya, shkalalar, ishtaha tasdiqlansin; asbobni tanlash. Tanqidiy jarayonlar bo’yicha 10-15 ta boshlang’ich kartochka yaratish.
3-4 haftalar: xavflarni nazorat va KRIs bilan bog’lash; issiqlik kartasi/dashbordlar qurish; tavakkalchiliklar qo’mitasini ishga tushirish.
5-6 hafta: Top-5 uchun miqdoriy baholashni (FAIR/Monte Carlo light) joriy etish, KRIs yigʻishni avtomatlashtirish, eskalatsiya va bord hisobotini rasmiylashtirish.

17) wiki bilan bog’liq bo’limlar

Ichki nazorat va audit, ISO 27001/27701, SOC 2, PCI DSS, IGA/RBAC/Least Privilege, TPRM va SLA, Hodisalar va qochqinlar, DR/BCP, Loglar va WORM siyosati - to’liq sikl uchun «xavf → nazorat → metrika → dalillar».

TL; DR

Tavakkalchiliklar ishchi reyestri = aniq taksonomiya + standartlashtirilgan shkalalar + ishtaha/chegaralar → egalari, nazorat va KRIs kartalari → issiqlik kartalari va qo’mitalari → Top-tavakkalchiliklar va CAPA uchun ustuvor miqdoriy baholash. Bu xavf-xatarlarni boshqariladigan, taqqoslanadigan va bord va regulyatorlar uchun isbotlanadigan qiladi.