|
Быть ближе к людям:
|
16.05.2013
Аудит криптопортфелей | Процедура независимой проверки активов компании.
Политики безопасности | Примеры и структура политик безопасности для криптосервисов.
Введение
Криптосервисы — биржи, кошельки, кастодиальные провайдеры, брокеры, DeFi‑платформы — работают на стыке высоких рисков, строгого регулирования и открытой инфраструктуры блокчейна. Формализованные политики безопасности помогают превратить разрозненные практики в воспроизводимую систему управления рисками: от защиты приватных ключей и клиентских активов до реагирования на инциденты и соблюдения требований комплаенса. Ниже — полноценный гид по структуре, наполнению и внедрению таких политик, с примерами формулировок и контрольных списков.
Что такое политика безопасности и чем она отличается от стандартов и процедур
- Политика: документ верхнего уровня, описывает намерения, принципы и обязательные требования для всей организации (что и зачем).
- Стандарты: конкретизируют политики измеримыми нормами и контрольными уровнями (какие параметры и уровни контроля).
- Процедуры/регламенты (SOP/Runbooks): пошаговые инструкции (как именно выполнять).
- Гайды/Best practices: рекомендательные материалы для роста зрелости (как лучше).
Базовая структура политики безопасности для криптосервиса
1) Цель и область действия
- Описывает, какие активы и процессы охватывает: IT‑инфраструктура, приватные ключи, кошельки (hot/cold), смарт‑контракты, данные клиентов, провайдеры, офисные площадки, удаленная работа.
2) Термины и определения
- Hot wallet, Cold wallet, MPC/Threshold, HSM, KMS, MEV, Oracles, KYT/AML, Travel Rule, PII/PD, BCDR и т. д.
3) Роли и ответственность
- Board/Executive: утверждение политики, приоритеты рисков, выделение бюджета.
- CISO/Head of Security: владельцы политики, риск‑оценка, аудит, мониторинг.
- CTO/Engineering: безопасная разработка, CI/CD, секреты, инфраструктура.
- Compliance/Legal: регуляторные требования (MiCA, FATF, GDPR, NYDFS, MAS TRM).
- Operations/Custody: хранение ключей, операции с активами, лимиты и 4‑глазный контроль.
- Incident Response Team: реагирование, коммуникации, пост‑инцидентный разбор.
4) Принципы безопасности
- Защита активов клиентов важнее скорости операций.
- Минимально необходимые полномочия (least privilege) и отказ по умолчанию.
- Сегментация и Zero Trust: не доверять, а проверять.
- Defense‑in‑depth: многоуровневая защита, изоляция и дублирование средств контроля.
- Безопасность по умолчанию в продукте (security by design).
5) Управление рисками и соответствием
- Каталог рисков: кража приватных ключей, взлом горячих кошельков, баги смарт‑контрактов, манипуляции ораклами, подмена адреса, инсайдерские риски, утечки PII, фишинг и takeover, поставщики.
- Методика оценки (например, ISO 27005, NIST 800‑30).
- Регуляторные карты: GDPR/ПДн, MiCA, FATF Travel Rule, AML/KYC, санкции (OFAC), SOC 2/ISO 27001, PCI DSS (при карте), NYDFS, MAS TRM.
6) Контроль доступа и управление идентичностями (IAM)
- MFA для всех критичных систем; аппаратные токены для админов и кастодиальных операций.
- Just‑in‑time доступ, привилегии через временные роли, периодические ревью прав.
- Обязательное логирование админ‑действий и привязка к персональным идентификаторам.
7) Управление ключами и кошельками
- Архитектура: cold storage (офлайн), warm/middle, hot. Четкое разграничение лимитов и частот вывода.
- Технологии: HSM, MPC/threshold подписи, шифрование в покое и при передаче, адрес‑аллоулисты и таймлоки.
- Операционные контроли: 4‑глазный принцип, лимиты на транзакции, отложенные выплаты, гео/временные политики, обязательная ручная верификация крупных выводов.
- Ротация ключей и план на компрометацию: как быстро переносить средства и перевыпускать ключи.
8) Безопасная разработка и смарт‑контракты (SSDLC)
- Threat modeling и security‑review перед разработкой фич и контрактов.
- SAST/DAST/IAST, секреты вне кода (vault), запрет hard‑coded приватных ключей.
- Code review 2+ инженера, внедрение защищенных библиотек.
- Смарт‑контракты: формальная верификация при критичных суммах, независимые аудиты, bug bounty, timelock/pausable механизмы, ограничение ролей (RBAC).
- Supply chain: блокировка зависимостей, SBOM, проверка артефактов, подписывание релизов.
9) Сетевые и облачные стандарты
- Сегментация среды: пользовательская зона, операционная, ключевая, аналитическая — с межсетевыми фильтрами и one‑way‑гейтами.
- Zero Trust Network Access, приватные egress‑шлюзы, WAF, DDoS‑защита, rate‑limit.
- Cloud security baseline: CIS Benchmarks, контроль конфигураций (IaC), сканинг дрейфа, KMS интеграция, запрет публичных бакетов.
10) Мониторинг, логирование и обнаружение угроз
- Централизованный сбор логов (SIEM), неотключаемое аудирование ключевых сервисов.
- KYT/AML мониторинг транзакций, аномалии вывода, триггеры на новые адреса.
- EDR/XDR на хостах, тайные канарейки, honey addresses, алерты по управленческим операциям.
11) Реагирование на инциденты и непрерывность бизнеса (IR/BCDR)
- Матрица критичности, RTO/RPO по хранилищам и сервисам.
- Готовые плейбуки: компрометация ключей, дренаж hot‑кошелька, эксплойт смарт‑контракта, утечка данных, supply chain атака.
- Коммуникации: уведомление клиентов, регуляторов, партнеров; взаимодействие с аналитическими блокчейн‑провайдерами и правоохранительными органами; on‑chain сигналы (pause/kill‑switch, timelock активация).
- Регулярные учения (tabletop, red team), пост‑мортемы и корректирующие действия.
12) Защита данных и конфиденциальность
- Классификация данных (ПДн, KYC, финданные, операционные, публичные).
- Шифрование, токенизация, маскирование, минимизация сборов, контроль retention и права субъекта данных (GDPR).
- Прозрачные практики приватности для пользователей, включая разделы о Cryptocurrency Privacy и ответственное использование анонимизирующих инструментов — с учетом комплаенса и санкционных ограничений.
13) Управление поставщиками
- Due diligence: аудит безопасности, сертификаты (ISO 27001/SOC 2), финансовая устойчивость, география и юрриски.
- Договорные требования: SLA, инцидент‑уведомления, право на аудит, криптографические стандарты, хранение и обработка данных.
14) Обучение и культура безопасности
- Обязательное вступительное и ежегодное обучение, фишинг‑симуляции, тренинги по операциям с кошельками, безопасная разработка, secure coding.
15) Исключения, нарушения и санкции
- Формальный процесс согласования исключений с оценкой риска и сроком действия.
- Последствия за нарушение: дисциплинарные меры, отзыв доступа, сообщение регуляторам при необходимости.
Примеры формулировок для ключевых разделов
- Управление ключами: «Все приватные ключи производственной среды хранятся в HSM уровня FIPS 140‑2 Level 3/или MPC‑схемах. Любая операция вывода свыше X требует мульти‑подписи не менее N из M, подтвержденной двумя независимыми офицерами».
- Вывод средств: «Для всех новых адресов получателя применяется отложенное окно T минут с возможностью отмены и автоматической проверкой на санкционные и рисковые метки».
- Смарт‑контракты: «Перед деплоем смарт‑контракта на основной сети требуется минимум два независимых аудита и публичный bug bounty не менее N дней».
- Инциденты: «В течение 15 минут с момента подтверждения критического инцидента активируется IR‑плейбук; MTTD средний ≤ X минут, MTTR средний ≤ Y часов».
Криптоспецифика: куда усилить контроль
- Горячие кошельки: строгие лимиты, частые автоматические «свипы» в холод, аллоулисты, предиктивная аналитика аномалий.
- Смарт‑контракты: защитные модули (pause, cap), лимиты на выпуск/минт, ораклы с избыточностью, протоколы распределенной подписи админ‑операций.
- Пользовательские атаки: защита от address‑poisoning, подмены адреса при копировании, предупреждения в UI, подтверждение через out‑of‑band канал.
- Инсайдерские риски: разделение обязанностей, неанонимные действия админов, постоянный мониторинг привилегий.
Минимальный набор политик для старта (MVP) и их связь
- Общая политика ИБ (Information Security Policy).
- Политика управления ключами/кошельками (Key and Wallet Management).
- Политика доступа и идентичностей (IAM).
- Политика разработки и смарт‑контрактов (SSDLC).
- Политика мониторинга и реагирования (Logging, IR, BCDR).
- Политика защиты данных и приватности (Data Protection & Privacy).
- Политика поставщиков (Third‑Party Risk).
План внедрения на 90 дней
- Недели 1–2: инвентаризация активов, карта данных, диаграммы потоков, риск‑оценка, выбор стандартов (ISO 27001/NIST CSF).
- Недели 3–6: драфты политик, согласование ролей, подбор инструментов (SIEM, EDR, HSM/MPC, vault), MDM/MFA, сетевые базовые меры.
- Недели 7–10: пилот IR‑учений, конфигурация лимитов вывода, аллоулисты, внедрение SAST/DAST, секрет‑сканинг, hardening облака (CIS).
- Недели 11–13: аудит конфигураций, финишные правки политик, обучение персонала, запуск bug bounty и план внешнего аудита.
Метрики эффективности (KPI/OKR)
- Покрытие MFA и привилегированных аккаунтов: ≥ 100%.
- Время патчинга критичных уязвимостей: ≤ 7 дней (или быстрее).
- Процент критичных систем под централизованным логированием: ≥ 98%.
- MTTD/MTTR по критическим инцидентам: целевые X/Y.
- Доля выводов, прошедших аллоулист/антифрод‑правила: 100%.
Типичные ошибки и как их избежать
- Политики «для галочки»: без метрик и владельцев разделов — вводите KPI и RACI.
- Отсутствие практик ротации ключей: регламентируйте ключевые события и тестируйте план эвакуации средств.
- Слепое доверие поставщикам: внедряйте контроль конфигураций и право на аудит.
- Неполные плейбуки: проработайте именно крипто‑сценарии и связывайте их с техникой нажатия «pause/kill» в контракте или миграции кошельков.
Коммуникация с пользователями и прозрачность
- Публичная страница «Security & Privacy», список практик, статусные страницы, отчетность об аудитах, политика раскрытия уязвимостей и bug bounty.
- Понятные советы по безопасности: аппаратные кошельки, верификация адресов, предупреждения о фишинге, ссылки на проверенные источники по теме приватности, включая разделы о Cryptocurrency Privacy в контексте комплаенса и ответственности.
Заключение
Сильные политики безопасности — это не «бумага», а каркас, который связывает управление рисками, технологии (HSM/MPC, SIEM, Zero Trust), процессы (IR/BCDR, SSDLC), людей и регулирование. Для криптосервисов решающими являются дисциплина в управлении ключами, операционная строгость при выводах, зрелость мониторинга и готовность к инцидентам. Начните с базового набора, закрепите ответственность и метрики, а затем итеративно повышайте уровень контроля — от минимально достаточного до индустриального эталона.
Политики безопасности | Примеры и структура политик безопасности для криптосервисов.
Введение
Криптосервисы — биржи, кошельки, кастодиальные провайдеры, брокеры, DeFi‑платформы — работают на стыке высоких рисков, строгого регулирования и открытой инфраструктуры блокчейна. Формализованные политики безопасности помогают превратить разрозненные практики в воспроизводимую систему управления рисками: от защиты приватных ключей и клиентских активов до реагирования на инциденты и соблюдения требований комплаенса. Ниже — полноценный гид по структуре, наполнению и внедрению таких политик, с примерами формулировок и контрольных списков.
Что такое политика безопасности и чем она отличается от стандартов и процедур
- Политика: документ верхнего уровня, описывает намерения, принципы и обязательные требования для всей организации (что и зачем).
- Стандарты: конкретизируют политики измеримыми нормами и контрольными уровнями (какие параметры и уровни контроля).
- Процедуры/регламенты (SOP/Runbooks): пошаговые инструкции (как именно выполнять).
- Гайды/Best practices: рекомендательные материалы для роста зрелости (как лучше).
Базовая структура политики безопасности для криптосервиса
1) Цель и область действия
- Описывает, какие активы и процессы охватывает: IT‑инфраструктура, приватные ключи, кошельки (hot/cold), смарт‑контракты, данные клиентов, провайдеры, офисные площадки, удаленная работа.
2) Термины и определения
- Hot wallet, Cold wallet, MPC/Threshold, HSM, KMS, MEV, Oracles, KYT/AML, Travel Rule, PII/PD, BCDR и т. д.
3) Роли и ответственность
- Board/Executive: утверждение политики, приоритеты рисков, выделение бюджета.
- CISO/Head of Security: владельцы политики, риск‑оценка, аудит, мониторинг.
- CTO/Engineering: безопасная разработка, CI/CD, секреты, инфраструктура.
- Compliance/Legal: регуляторные требования (MiCA, FATF, GDPR, NYDFS, MAS TRM).
- Operations/Custody: хранение ключей, операции с активами, лимиты и 4‑глазный контроль.
- Incident Response Team: реагирование, коммуникации, пост‑инцидентный разбор.
4) Принципы безопасности
- Защита активов клиентов важнее скорости операций.
- Минимально необходимые полномочия (least privilege) и отказ по умолчанию.
- Сегментация и Zero Trust: не доверять, а проверять.
- Defense‑in‑depth: многоуровневая защита, изоляция и дублирование средств контроля.
- Безопасность по умолчанию в продукте (security by design).
5) Управление рисками и соответствием
- Каталог рисков: кража приватных ключей, взлом горячих кошельков, баги смарт‑контрактов, манипуляции ораклами, подмена адреса, инсайдерские риски, утечки PII, фишинг и takeover, поставщики.
- Методика оценки (например, ISO 27005, NIST 800‑30).
- Регуляторные карты: GDPR/ПДн, MiCA, FATF Travel Rule, AML/KYC, санкции (OFAC), SOC 2/ISO 27001, PCI DSS (при карте), NYDFS, MAS TRM.
6) Контроль доступа и управление идентичностями (IAM)
- MFA для всех критичных систем; аппаратные токены для админов и кастодиальных операций.
- Just‑in‑time доступ, привилегии через временные роли, периодические ревью прав.
- Обязательное логирование админ‑действий и привязка к персональным идентификаторам.
7) Управление ключами и кошельками
- Архитектура: cold storage (офлайн), warm/middle, hot. Четкое разграничение лимитов и частот вывода.
- Технологии: HSM, MPC/threshold подписи, шифрование в покое и при передаче, адрес‑аллоулисты и таймлоки.
- Операционные контроли: 4‑глазный принцип, лимиты на транзакции, отложенные выплаты, гео/временные политики, обязательная ручная верификация крупных выводов.
- Ротация ключей и план на компрометацию: как быстро переносить средства и перевыпускать ключи.
8) Безопасная разработка и смарт‑контракты (SSDLC)
- Threat modeling и security‑review перед разработкой фич и контрактов.
- SAST/DAST/IAST, секреты вне кода (vault), запрет hard‑coded приватных ключей.
- Code review 2+ инженера, внедрение защищенных библиотек.
- Смарт‑контракты: формальная верификация при критичных суммах, независимые аудиты, bug bounty, timelock/pausable механизмы, ограничение ролей (RBAC).
- Supply chain: блокировка зависимостей, SBOM, проверка артефактов, подписывание релизов.
9) Сетевые и облачные стандарты
- Сегментация среды: пользовательская зона, операционная, ключевая, аналитическая — с межсетевыми фильтрами и one‑way‑гейтами.
- Zero Trust Network Access, приватные egress‑шлюзы, WAF, DDoS‑защита, rate‑limit.
- Cloud security baseline: CIS Benchmarks, контроль конфигураций (IaC), сканинг дрейфа, KMS интеграция, запрет публичных бакетов.
10) Мониторинг, логирование и обнаружение угроз
- Централизованный сбор логов (SIEM), неотключаемое аудирование ключевых сервисов.
- KYT/AML мониторинг транзакций, аномалии вывода, триггеры на новые адреса.
- EDR/XDR на хостах, тайные канарейки, honey addresses, алерты по управленческим операциям.
11) Реагирование на инциденты и непрерывность бизнеса (IR/BCDR)
- Матрица критичности, RTO/RPO по хранилищам и сервисам.
- Готовые плейбуки: компрометация ключей, дренаж hot‑кошелька, эксплойт смарт‑контракта, утечка данных, supply chain атака.
- Коммуникации: уведомление клиентов, регуляторов, партнеров; взаимодействие с аналитическими блокчейн‑провайдерами и правоохранительными органами; on‑chain сигналы (pause/kill‑switch, timelock активация).
- Регулярные учения (tabletop, red team), пост‑мортемы и корректирующие действия.
12) Защита данных и конфиденциальность
- Классификация данных (ПДн, KYC, финданные, операционные, публичные).
- Шифрование, токенизация, маскирование, минимизация сборов, контроль retention и права субъекта данных (GDPR).
- Прозрачные практики приватности для пользователей, включая разделы о Cryptocurrency Privacy и ответственное использование анонимизирующих инструментов — с учетом комплаенса и санкционных ограничений.
13) Управление поставщиками
- Due diligence: аудит безопасности, сертификаты (ISO 27001/SOC 2), финансовая устойчивость, география и юрриски.
- Договорные требования: SLA, инцидент‑уведомления, право на аудит, криптографические стандарты, хранение и обработка данных.
14) Обучение и культура безопасности
- Обязательное вступительное и ежегодное обучение, фишинг‑симуляции, тренинги по операциям с кошельками, безопасная разработка, secure coding.
15) Исключения, нарушения и санкции
- Формальный процесс согласования исключений с оценкой риска и сроком действия.
- Последствия за нарушение: дисциплинарные меры, отзыв доступа, сообщение регуляторам при необходимости.
Примеры формулировок для ключевых разделов
- Управление ключами: «Все приватные ключи производственной среды хранятся в HSM уровня FIPS 140‑2 Level 3/или MPC‑схемах. Любая операция вывода свыше X требует мульти‑подписи не менее N из M, подтвержденной двумя независимыми офицерами».
- Вывод средств: «Для всех новых адресов получателя применяется отложенное окно T минут с возможностью отмены и автоматической проверкой на санкционные и рисковые метки».
- Смарт‑контракты: «Перед деплоем смарт‑контракта на основной сети требуется минимум два независимых аудита и публичный bug bounty не менее N дней».
- Инциденты: «В течение 15 минут с момента подтверждения критического инцидента активируется IR‑плейбук; MTTD средний ≤ X минут, MTTR средний ≤ Y часов».
Криптоспецифика: куда усилить контроль
- Горячие кошельки: строгие лимиты, частые автоматические «свипы» в холод, аллоулисты, предиктивная аналитика аномалий.
- Смарт‑контракты: защитные модули (pause, cap), лимиты на выпуск/минт, ораклы с избыточностью, протоколы распределенной подписи админ‑операций.
- Пользовательские атаки: защита от address‑poisoning, подмены адреса при копировании, предупреждения в UI, подтверждение через out‑of‑band канал.
- Инсайдерские риски: разделение обязанностей, неанонимные действия админов, постоянный мониторинг привилегий.
Минимальный набор политик для старта (MVP) и их связь
- Общая политика ИБ (Information Security Policy).
- Политика управления ключами/кошельками (Key and Wallet Management).
- Политика доступа и идентичностей (IAM).
- Политика разработки и смарт‑контрактов (SSDLC).
- Политика мониторинга и реагирования (Logging, IR, BCDR).
- Политика защиты данных и приватности (Data Protection & Privacy).
- Политика поставщиков (Third‑Party Risk).
План внедрения на 90 дней
- Недели 1–2: инвентаризация активов, карта данных, диаграммы потоков, риск‑оценка, выбор стандартов (ISO 27001/NIST CSF).
- Недели 3–6: драфты политик, согласование ролей, подбор инструментов (SIEM, EDR, HSM/MPC, vault), MDM/MFA, сетевые базовые меры.
- Недели 7–10: пилот IR‑учений, конфигурация лимитов вывода, аллоулисты, внедрение SAST/DAST, секрет‑сканинг, hardening облака (CIS).
- Недели 11–13: аудит конфигураций, финишные правки политик, обучение персонала, запуск bug bounty и план внешнего аудита.
Метрики эффективности (KPI/OKR)
- Покрытие MFA и привилегированных аккаунтов: ≥ 100%.
- Время патчинга критичных уязвимостей: ≤ 7 дней (или быстрее).
- Процент критичных систем под централизованным логированием: ≥ 98%.
- MTTD/MTTR по критическим инцидентам: целевые X/Y.
- Доля выводов, прошедших аллоулист/антифрод‑правила: 100%.
Типичные ошибки и как их избежать
- Политики «для галочки»: без метрик и владельцев разделов — вводите KPI и RACI.
- Отсутствие практик ротации ключей: регламентируйте ключевые события и тестируйте план эвакуации средств.
- Слепое доверие поставщикам: внедряйте контроль конфигураций и право на аудит.
- Неполные плейбуки: проработайте именно крипто‑сценарии и связывайте их с техникой нажатия «pause/kill» в контракте или миграции кошельков.
Коммуникация с пользователями и прозрачность
- Публичная страница «Security & Privacy», список практик, статусные страницы, отчетность об аудитах, политика раскрытия уязвимостей и bug bounty.
- Понятные советы по безопасности: аппаратные кошельки, верификация адресов, предупреждения о фишинге, ссылки на проверенные источники по теме приватности, включая разделы о Cryptocurrency Privacy в контексте комплаенса и ответственности.
Заключение
Сильные политики безопасности — это не «бумага», а каркас, который связывает управление рисками, технологии (HSM/MPC, SIEM, Zero Trust), процессы (IR/BCDR, SSDLC), людей и регулирование. Для криптосервисов решающими являются дисциплина в управлении ключами, операционная строгость при выводах, зрелость мониторинга и готовность к инцидентам. Начните с базового набора, закрепите ответственность и метрики, а затем итеративно повышайте уровень контроля — от минимально достаточного до индустриального эталона.
