GH GambleHub

SOC 2: xavfsizlikni nazorat qilish mezonlari

1) SOC 2 so’z bilan

SOC 2 - tashkilotning Trust Services Criteria (TSC) AICPAga muvofiq qanday loyihalashtirishi (Design) va bajarishini mustaqil baholash.
iGaming’da bu tartibga soluvchilar/banklar/PSP/sheriklar ishonchini oshiradi va TPRMni soddalashtiradi.

Hisobot turlari:
  • Type I - bir lahzali holat (aniq sanada): nazorat toʻgʻri loyihalashtirilganmi.
  • Type II - davr uchun (odatda 6-12 oy): nazorat amalda barqaror ishlaydimi (namunalar bilan).

2) Trust Services Criteria (TSC) va ularni qanday o’qish mumkin

Asosiy domen - Security (Common Criteria). Qolganlari ixtiyoriy ravishda quyidagi sohaga qoʻshiladi:
MezonMaqsadAuditor savollari namunalari
Security (CC)Ruxsatsiz foydalanishdan himoya qilishMFA, RBAC/ABAC, SoD, jurnallar, zaifliklarni boshqarish
AvailabilityMaqsadlar bo’yicha foydalanishDR/BCP, RTO/RPO, SLO monitoringi, hodisa-menejment
ConfidentialityMaxfiy maʼlumotlarni himoya qilishTasniflash, shifrlash, niqoblash, eksport-nazorat
Processing IntegrityIshlov berishning to’liqligi/aniqligi/o’z vaqtidaMa’lumotlar sifatini nazorat qilish, solishtirish, uzluksiz testlar
PrivacyPII uchun maxfiylik sikliQonuniy asoslar, RoPA, DSAR, retenshn, CMP

3) Boshqaruv modeli va majburiy elementlar (Security - CC)

Governance & Risk: Axborot texnologiyalari siyosati, xavf-reyestr, maqsadlar, rollar/RACI, o’qitish.
Access Control: RBAC/ABAC, SoD, JIT/PAM, parollar/MFA, provijening SCIM/IGA, offbording ≤ 15 daqiqa.
Change & SDLC: DevSecOps, SAST/DAST/DS, IaC-skanerlash, CAB, deploev jurnallari, qaytalar.
Logging & Monitoring: markazlashtirilgan loglar (WORM + imzo), SIEM/SOAR, KRI bo’yicha alertlar.
Vuln & Patch: aniqlash/tasniflash jarayoni, High/Critical’dagi SLA, joylashtirishni tasdiqlash.
Incident Response: playbook, RACI, war-room, postmortemalar va CAPA.
Vendor/TPRM: due diligence, DPA/SLA, audit huquqi, vendorlar monitoringi.

4) Kengaytirilgan mezonlar (A, C, PI, P)

Availability (A)

SLO/SLA va dashbordlar; DR/BCP (RTO/RPO), yillik testlar; sig’imi/kross-mintaqa; kirish bo’yicha hodisalar jarayoni.

Confidentiality (C)

Ma’lumotlarni tasniflash; at rest/in transit (KMS/HSM) shifrlash; PIIni tokenlashtirish; eksportni nazorat qilish (imzo, jurnal); retenshn.

Processing Integrity (PI)

Ma’lumotlar sifatini nazorat qilish: sxemalar/validatsiya, deduplikatsiya, reconciliation; vazifalarning ishga tushirilishini nazorat qilish; payplaynlardagi o’zgarishlarni boshqarish.

Privacy (P)

Maxfiylik siyosati; RoPA/qonuniy asoslar; SMR/rozilik; DPIA/DSAR; kamuflyaj/retenshn; trekerlar/SDK auditi.

5) Mapping SOC 2 sizning siyosatingiz/nazoratingiz

ISO 27001/ISMS → CC (xatarlarni boshqarish, siyosat, loglar, zaifliklar) asosini qamrab oladi.
ISO 27701/PIMS → ko’plab Privacy mezonlarini yopadi.
Ichki bo’limlar: RBAC/Least Privilege, Parol siyosati va MFA, Loglar siyosati, Hodisalar, TPRM, DR/BCP - to’g «ridan to’g» ri TSCga joylashtiriladi.

💡 Muvofiqlik matrisini tuzish tavsiya etiladi: «TSC punkti → siyosat/protsedura → nazorat → metrika → evidence».

6) Nazorat katalogi va evidences misollari

Har bir nazorat uchun: ID, maqsad, egasi, chastota, usul (avto/qo’lda), dalil manbalari.

Namunalar (parcha):
  • ’SEC-ACCESS-01’ - Ma’muriy kirish uchun MFA → IdP hisoboti, sozlash skrinshotlari, loglarni tanlash.
  • ’SEC-IGA-02’ - Offboarding ≤ 15 min → SCIM-loglar, ishdan bo’shatish chiptalari, blokirovka qilish jurnali.
  • «SEC-LOG-05» - O’zgarmas jurnallar (WORM) → konfiglar, xesh-zanjirlar, tanlovlarni eksport qilish.
  • ’AVAIL-DR-01’ - Har yilgi DR-test → test protokoli, haqiqiy RTO/RPO.
  • ’CONF-ENC-03’ - KMS/HSM kalitlarni boshqarish → rotatsiya siyosati, KMS auditi.
  • «PI-DATA-02» - To’lovlar bo’yicha Reconciliation → Solishtirma hisobotlar, hodisalar, CAPA.
  • ’PRIV-DSAR-01’ - DSAR bo’yicha SLA → so’rovlar reyestri, taymshtamplar, javoblar shablonlari.

7) SOC 2 ni saqlash tartib-taomillari (SOP)

SOP-1 Hodisalar: detekt → triage → containment → RCA → CAPA → hisobot.
SOP-2 O’zgarishlarni boshqarish: PR → CI/CD → skanerlar → CAB → deploy → monitoring → qaytish/fikslar.
SOP-3 Zaifliklar: intake → tasniflash → SLA → fix verifikatsiyasi → hisobot chiqarish.
SOP-4 Foydalanuvchilar: JML/IGA, choraklik qayta sertifikatlash, SoD bloklari, JIT/PAM.
DR/BCP SOP-5: yillik testlar, qisman mashqlar, RTO/RPO faktlarini chop etish.
SOP-6 Eksport/maxfiylik: oq ro’yxatlar, imzo/jurnal, retenshn/olib tashlash.

8) Auditga tayyorgarlik: Type I → Type II

1. TSC gep-tahlili: qoplamalar matritsasi, etishmayotgan nazoratlarning ro’yxati.
2. Siyosat va tartib-taomillar: yangilash, egalarini tayinlash.
3. Yagona ombor: loglar, IdP/SIEM hisobotlari, chiptalar, sarlavhalarni eksport qilish (imzo bilan).
4. Internal Readiness Audit: auditor savolnomasining prognozi, tanlanmalarni tuzatish.
5. Type I (sana X): nazorat dizaynini va ishga tushirish faktini koʻrsatish.
6. Kuzatuv davri (6-12 oy): artefaktlarni uzluksiz yig’ish, topilmalarni yopish.
7. Type II: operatsion samaradorlik haqida hisobot berish.

9) SOC 2 uchun metriklar (KPI/KRI)

KPI:
  • MFA adoption (ma’murlar/tanqidiy rollar) = 100%
  • Offboarding TTR ≤ 15 min
  • Patch SLA High/Critical o’z vaqtida 95% ≥ yopildi
  • DR-testlar: reja-jadvalni bajarish = 100%, haqiqiy RTO/RPO normal
  • Coverage loging (WORM) ≥ 95% kritik tizimlar
KRI:
  • PII’purpose’= 0
  • SoD = 0 buzilishlari
  • Hodisalar reglamentlardan keyin xabar qilingan = 0
  • Takroriy zaifliklar High/Critical> 5% - eskalatsiya

10) RACI (yiriklashtirilgan holda)

AktivlikBoard/CEOCISO/ISMSSecurityPrivacy/DPOSRE/ITData/BIProduct/EngLegal/ComplianceInternal Audit
SOC 2 mintaqasiA/RRCCCCCCI
Nazorat katalogiIA/RRCRRRCI
Evidence omboriIA/RRRRRRCI
Readiness/ichki auditIRRRRRRCA/R
Tashqi auditIRRRRRRCI
SARA/remediatsiyaIA/RRRRRRCC

11) Chek-varaqlar

11. 1 Readiness (Type I oldidan)

  • Scope (TSC va tizimlar) oʻrnatildi
  • Siyosat/tartib-taomillar dolzarb va ma’qullangan
  • Nazorat va metrika egalari tayinlandi
  • Evidence ombori prototipi tayyor (loglar, IdP/SIEM hisobotlari, biletlar)
  • Hodisa bo’yicha tabletka va DR-mini-test o’tkazildi
  • Xavflar va SoD matritsasi tasdiqlandi

11. 2 Kuzatuv davri (I va II oralig’i)

  • Haftalik yig’ish/loglarni eksport qilish
  • KPI/KRI bo’yicha oylik hisobot
  • SLAdagi zaifliklarni yopish
  • Huquqlarni choraklik qayta sertifikatlash
  • Rejaga muvofiq DR/BCP testi

11. 3 Type II oldidan

  • Davr uchun to’liq evidence to’plami (har bir nazorat bo’yicha)
  • Hodisalar/zaifliklar reyestri va CAPA
  • Management Review hisoboti (davr yakunlari)
  • Yangilangan mapping matritsasi

12) Tez-tez xatolar va ulardan qanday qochish mumkin

«Amalsiz siyosatchilar»: ro’yxatlar, chiptalar, DR/hodisalar protokollarini ko’rsating - nafaqat hujjatlar.
Zaif loging: WORM/imzolarsiz va aniq semantikasiz audit qiyinroq.
Huquqlarni qayta sertifikatlash yo’q: «osilgan» kirish xavfi - muhim minus.
To’liq bo’lmagan Scope vendorlari: SOC 2 zanjirini ko’radi - TPRM, DPA/SLA, audit huquqlarini qo’shing.
Rutinsiz bir martalik siljish: SSM/dashbordlar va oylik hisobotlarni joriy qiling.

13) Yo’l xaritasi (12-16 hafta → Type I, yana 6-12 oy → Type II)

1-2 haftalar: TSC, Scope, egalari, ish rejasi.
3-4 hafta: siyosat/tartib-qoidalarni yangilash, nazorat katalogi va mapping matritsasini yig’ish.
5-6 haftalar: loglar (WORM/imzo), SIEM/SOAR, zaifliklar/SLA, IdP/MFA, IGA/JML patchlarini sozlash.
Haftalar 7-8: DR/BCP minimal testlar, TPRM yangilanishlari (DPA/SLA), hodisa mashqlari.
9-10 haftalar: evidence-ombor, KPI/KRI hisoboti, ichki readiness-audit.
11-12 haftalar: yakuniy tuzatishlar, auditor broni, Type I.
Keyingi: artefaktlarni har haftalik yig’ish, davr yakuniga ko’ra choraklik yig’ish → Type II.

TL; DR

SOC 2 = aniq Scope TSC → egalari va metriklari bo’lgan nazorat katalogi → evidence bo’yicha Design & Operating → uzluksiz loglar/SIEM/IGA/DR/TPRM → Readiness → Type I → kuzatuv davri → Type II. va audit kutilmagan tarzda o’tkaziladi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.