Xavfsizlik va komplayens sertifikatlar

Nima uchun kerak

Sertifikatlar va attestatsiyalar yetuk xavfsizlik amaliyotlarini tasdiqlaydi va tartibga solinadigan bozorlar va hamkorlarga kirish imkoniyatini ochib, savdo siklini (due diligence) qisqartiradi. Kalit - «bir marta auditdan o’tish» emas, balki o’lchanadigan nazorat nuqtalari bilan uzluksiz boshqaruv tizimini qurish.

Landshaft xaritasi (nima va qachon tanlash kerak)

ISO/IEC 27001 - axborot xavfsizligi menejmenti tizimi (ISMS). Jarayonlarning universal «skeleti».

Qo’shimchalar: ISO 27017 (bulut), 27018 (bulutda privacy), 27701 (PIMS, maxfiylik), 22301 (BCMS, barqarorlik).
SOC 2 (AICPA): Type I (sana uchun dizayn) va Type II (dizayn + davr uchun operatsion samaradorlik, odatda 3-12 oy). Trust Services Criteria: Security, Availability, Processing Integrity, Confidentiality, Privacy.
PCI DSS (xaritalarga ishlov berish uchun): operatsiyalar hajmi bo’yicha darajalar, QSA ishtirokidagi ROC/AOC, choraklik ASV skanerlar, pentestlar va CHD zonalari segmentatsiyasi.
CSA STAR (Level 1-3): bulutli provayderlar va servislar uchun deklaratsiya/audit.
Qoʻshimcha ravishda: ISO 20000 (ITSM), ISO 31000 (risk-menejment), ISO 37001 (anti-bribery), TISAX/ISAE 3402 (tarmoq/moliya) domenlari boʻyicha.
GDPR/maxfiylik: «GDPR sertifikati» mavjud emas; ISO 27701 va mustaqil baholash/xulq-atvor kodekslarini qo’llaydi.

💡 Tanlash qoidasi: B2B SaaS/fintech → ISO 27001 + SOC 2 Type II; to’lov oqimlari/kartalar → PCI DSS; PII → 27701 bilan zich ishlash; fokus buluti → 27017/27018/CSA STAR.

Sertifikatlashtirish vs attestatsiya

Sertifikatlashtirish (ISO): akkreditatsiya qilingan organ har yilgi nazorat auditlari bilan birga 3 yillik sertifikat beradi.
Attestatsiya (SOC 2): mustaqil auditor davr uchun hisobot (opinion) chiqaradi; hujjatni siz mijozlarga NDA ostida taqdim etasiz.
PCI DSS: kichik hajmlar uchun ROC (Report on Compliance) va AOC (Attestation of Compliance) yoki SAQ tomonidan tasdiqlanadi.

Skope: chegaralarni qanday chizish kerak

1. Aktivlar va jarayonlar: mahsulotlar, muhit (prod/stage), hududlar, data-klasslar (PII/moliya/xaritalar).
2. Texnik arxitektura: bulut, VPC/VNet, Kubernetes, CI/CD, maxfiy menejment, DWH/tahlil.
3. Tashkiliy zonalar: ofislar/masofaviy, pudratchilar, autsors-qo’llab-quvvatlash.
4. Etkazib beruvchilar (third parties): PSP, kontent provayderlari, KYC/AML, bulutlar - birgalikdagi javobgarlik modeli.
5. Istisnolar: nima uchun sotib olinmasligini va kompensatsiya choralarini belgilang.

«Birinchi beyj» ga yo’l xaritasi

1. Gap-tahlil maqsadlarga qarshi (27001/SOC 2/PCI).
2. Tavakkalchilik menejmenti: metodika, tavakkalchilik reyestri, qayta ishlash rejasi, Statement of Applicability (ISO).
3. Siyosat va rollar: Axborot xavfsizligi/maxfiylik siyosati, ma’lumotlarni tasniflash, kirish (IAM), loging, javob berish, BCM/DR.
4. Texnik nazorat: shifrlash, tarmoqlar (WAF/WAAP, DDoS), zaifliklar/patchlar, xavfsiz SDLC, bekaplar, monitoring.
5. Dalillar bazasi: reglamentlar, jurnallar, skrinshotlar, yuklar, tiketlar - variantli saqlaymiz.
6. Ichki audit/Readiness-baholash.
7. Tashqi audit: stage 1 (doc-revyu) → stage 2 (samaradorlik/samplar). SOC 2 Type II uchun - «kuzatish davri».
8. Nazorat/qo’llab-quvvatlash: har chorakda nazoratni tekshirish, yillik nazorat auditlari (ISO), SOCni har yili yangilash 2.

Nazorat matritsasi (misol boʻlagi)

Domenlar	ISO 27001 Annex A	SOC 2 TSC	PCI DSS	Nazorat turi/artefakt
Foydalanishni boshqarish	A.5, A.9	CC6. x	7, 8	RBAC/ABAC, JML, SCIM-logi, revue huquqlari
Shifrlash	A.8	CC6. 1, CC6. 7	3	KMS/HSM, TLS 1. 2 +/mTLS, asosiy siyosatlar
Zaifliklar/patchlar	A.12, A.14	CC7. x	6, 11. 3	Skanlar, MTTP, pentest-hisobotlar, ASV
Logi/monitoring	A.5, A.8, A.12	CC7. x	10	SIEM/SOC, retenshn, alertlar va RCA
BCM/DR	A.5, A.17	A1. x	12	22301-rejalar, DR test natijalari

Auditor nimani ko’rsatadi (namunaviy so’rovlar)

Foydalanuvchilar: IdP/IAM hisobotlari, JML loglari, imtiyozlar tafsilotlari.
Sirlar: KMS/Vault siyosati, rotatsiya tarixi.
Zaifliklarni skanerlash: oxirgi hisobotlar, remediatsiya sertifikatlari, MTTP muddatlari.
Jurnallar/alertlar: hodisa holatlari, MTTD/MTTR, post-mortlar.
Etkazib beruvchilar: reyestr, DPIA/DTIA (agar PII bo’lsa), shartnomaviy choralar, tavakkalchiliklarni baholash.
O’qitish va testlar: fishing-simulyatsiyalar, axborot texnologiyalari treninglari, tasdiqlash.
BC/DR: so’nggi mashg’ulotlar natijalari, RTO/RPO-faktlar.

Uzluksiz nazorat (Continuous Compliance)

Policy-as-Code: deploylar uchun OPA/Gatekeeper/Kyverno; «Enforce» tanqidiy qoidalarga asoslanadi.
Continuous Control Monitoring (CCM): har N daqiqa/soatda tekshirish (baketalarni shifrlash, ochiq portlar, MFA-coverage).
GRC tizimi: nazorat reyestri, egalari, vazifalari va muddatlari, metriklarni bog’lash.
Yagona artefakt-xab: «dalillar» (evidence) versiyalanadi va nazorat nuqtasi bilan belgilanadi.
Hisobotlarning avtogeneratsiyasi: SoA, Risk Register, Control Effectiveness, KPI/SLO.

Metrika va SLO for complayens

Coverage:% avtomatik tekshirish bilan boshqariladi;% aktivlar sotib olinadi.
Javob berish vaqti: p95 auditorlik so’rovlarini yopish ≤ 5 ish kuni.
Ishonchlilik: «nazorat yashil hududda emas» ≤ oyiga 1% vaqt.
Zaifliklar: MTTP P1 ≤ 48 soat, P2 ≤ 7 kun; pentest-remediatsiya ≤ 30 kun.
Axborot texnologiyalarini o’qitish: xodimlarni qamrab olish ≥ 98%, davriyligi 12 oy.

Bulut va Kubernetes uchun o’ziga xos xususiyatlar

Bulut: resurslarni inventarizatsiya qilish (IaC), «diskda »/» kanalda» shifrlash, jurnallash (CloudTrail/Activity Logs), minimal rollar. «Meros» himoyasining bir qismi sifatida provayderlarning sertifikat hisobotlaridan (SOC 2, ISO, PCI) foydalaning.
Kubernetes: namespace bo’yicha RBAC, Admission-siyosati (rasmlar imzosi/SBOM, taqiq’: latest’), tarmoq siyosati, etcd’dan tashqari sirlar (KMS), API-server auditi, rasmlar/klaster uchun skan profillari.
Tarmoqlar va perimetr: WAF/WAAP, DDoS, segmentatsiya, «keng» VPN o’rniga ZTNA.

PCI DSS (to’lov muhitlari uchun aniqliklar)

CHD zonasi segmentatsiyasi: minimal tizimlar; mTLS - PSP; veb-xoki - HMAC bilan.
Har choraklik ASV-skanlar va yillik pentestlar (shu jumladan segmentatsiya).
Logi va yaxlitligi: FIM, oʻzgarmas jurnallar, «bosib chiqarish vaqti» (NTP).
Hujjatlar: Siyosatlar, Xarita ma’lumotlari oqimi diagrammalari, AOC/ROC, hodisalar tartib-taomillari.

Maxfiylik (ISO 27701 + GDPR-yondashuv)

Rollari: nazoratchi/protsessor, qayta ishlash reyestri, huquqiy asoslar.
DPIA/DTIA: maxfiylik va transchegaraviy uzatmalar xavfini baholash.
Subyektlarning huquqlari: javoblar uchun SLA, qidirish/olib tashlashning texnik vositalari.
Minimallashtirish/taxalluslashtirish: arxitektura patternlari va DLP.

Artefaktlar (tayyor shablonlar - «qo’lda ushlab turish»)

Statement of Applicability (SoA) Annex A.ni kiritish/chiqarib tashlash motivatsiyasi bilan

Control Matrix (ISO, SOC2, PCI) egalari va dalillari bilan.
Risk Register metodikasi (impact/likelihood) va qayta ishlash rejasi bilan.
BC/DR rejalari + oxirgi mashqlar protokollari.
Secure SDLC paketi: revyu chek-varaqlari, SAST/DAST hisobotlari, deploy polisi.
Supplier Due Diligence: anketalar (SIG Lite/CAIQ), tavakkalchiliklarni baholash, shartnomaviy choralar.

Tez-tez xatolar

«Audit uchun audit»: jonli jarayonlar yo’q, faqat siyosatchilar bilan jildlar.
Haddan tashqari keng: qimmatlashib, qo’llab-quvvatlashni qiyinlashtiradi; «qadriyat oʻzagi» dan boshlang.
Dalillarni qo’lda to’plash: yuqori operatsion qarz; CCM va tushirishni avtomatlashtiring.
Metriksiz nazorat: boshqarib boʻlmaydi (SLO/egalari yoʻq).
Unutilgan post-sertifikatlash rejimi: har chorakda tekshirish yo’q → nazoratda kutilmagan hodisalar.
Pudratchilar konturdan tashqarida: uchinchi tomonlar auditda hodisalar manbai va «qizil xarita» ga aylanmoqda.

Tayyorlik chek-varaqasi (qisqartirilgan)

Sotib olish, aktivlar, egalari aniqlandi; ma’lumotlar va oqimlar xaritasi.
Tavakkalchilik reyestri, SoA (ISO uchun), Trust Services Criteria (SOC 2 uchun) nazorat bo’yicha joylashtirilgan.
Siyosat, tartib-qoidalar, xodimlarni o’qitish bajarilgan va dolzarbdir.
Nazorat avtomatlashtirilgan (CCM), dashbordlar va alertlar ulangan.
Har bir nazorat bo’yicha dalillar to’plangan/versiyalangan.
Ichki audit o’tkazildi/Readiness; tanqidiy bo’shliqlar bartaraf etildi.
Auditor/organ tayinlandi, kuzatuv davri (SOC 2) yoki Stage 1/2 (ISO) rejasi kelishilgan.
Pentest/ASV (PCI), remediatsiya rejasi va fislarni tasdiqlash joyida.

Mini namunalar

Nazorat uchun metriklar siyosati (misol)

Nazorat: «Barcha PII baketalar KMS bilan shifrlangan».
SLI:% ochilgan shifrlangan baketalar.
Maqsad: 99- ≥. 9%.
Alert: yiqilganda <99. 9% 15 daqiqadan ortiq → P2, egasi - Head of Platform.

Dalillar jurnali (parcha)

Nazorat	Dalil	Chastota	Saqlash joyi	Mas’ul
PIIga kirish	SIEM eksporti 90 kun ichida	har oyda	GRC/Evidence Hub	SOC Lead
Sirlarni almashtirish	Vault audit log + change ticket	Har hafta	GRC	DevOps Lead

iGaming/fintech uchun o’ziga xos

Yuqori tavakkalchilik domenlari: toʻlovlar/toʻlovlar, antifrod, bekofis, sheriklik integratsiyasi - sotib olish va nazoratda ustuvorlik.
Biznes metrikasi: Time-to-Wallet, reg konvertatsiyasi → depozit - himoya choralari va auditlarning ta’sirini hisobga oling.
Hududiylik: EI/LATAM/Osiyo talablari - transchegaraviy uzatmalarni hisobga olish, mahalliy regulyatorlar.
Kontent/PSP provayderlari: majburiy due diligence, mTLS/HMAC, ma’lumotlar bo’yicha huquqiy qo’shimcha kelishuvlar.

Jami

Sertifikatlar - bu intizom va avtomatlashtirish natijasidir: xavf-menejment, tirik siyosat, o’lchanadigan nazorat va doimiy tayyorgarlik. To’g’ri to’plamni tanlang (ISO 27001/27701/22301, SOC 2 Type II, PCI DSS, CSA STAR), skopni chizing, tekshiruvlarni avtomatlashtiring (CCM/Policy-as-Code), artefaktlarni tartibda saqlang va SLOni o’lchang - shunda komplayens oldindan aytib bo’ladi va mahsulot o’sishini qo’llab-quvvatlaydi, uning tormozi emas.