← [Главная](../README.md)

# 09 — Комплаенс и аудит

## Цель

Понять, зачем DevSecOps связывают с регуляторикой и стандартами: ISO 27001, GDPR и подготовка доказательств для аудита. После раздела вы сможете объяснить, какие артефакты CI/CD и инфраструктуры нужны проверяющим.

## Предварительно

- Пройдены разделы [01–08](../README.md) или базовое понимание CI/CD, контейнеров и Kubernetes.
- Понимание терминов: политика, лог, инцидент, персональные данные.

## Время

~2–3 часа на весь раздел (чтение + самопроверка).

## О разделе

Комплаенс (compliance) — соответствие правилам: законам, отраслевым стандартам и внутренним политикам компании. DevSecOps не «подменяет» юристов, но **автоматизирует доказательства**: кто деплоил, какие сканы прошли, где хранятся секреты.

| Тема | Файл | Суть |
|------|------|------|
| Международный стандарт ИБ | [iso27001-obzor.md](iso27001-obzor.md) | ISMS, контроли Annex A, связь с пайплайном |
| Персональные данные в ЕС/РФ | [gdpr-i-personalnye-dannye.md](gdpr-i-personalnye-dannye.md) | GDPR, 152-ФЗ, минимизация и сроки хранения |
| Доказательства для аудита | [audit-evidence.md](audit-evidence.md) | Что собирать, как хранить, типичные запросы |

## Ключевая идея

```
Политика (что должно быть)
        ↓
Контроль в CI/CD / K8s (как проверяем)
        ↓
Артефакт / лог (доказательство)
        ↓
Аудит (внешний или внутренний)
```

Без автоматизации доказательства «живут в головах» людей и теряются при увольнении. Хороший DevSecOps делает их **воспроизводимыми и с датой**.

## Типичные роли

| Роль | Вклад в комплаенс |
|------|-------------------|
| DevSecOps-инженер | Встраивает сканы, политики, логирование в пайплайн |
| Аудитор / GRC | Формулирует требования, проверяет выборку |
| DPO / юрист | Интерпретирует GDPR и договоры |
| Разработчик | Исправляет находки, не кладёт секреты в Git |

## Самопроверка

- [ ] Могу объяснить разницу между «стандартом» (ISO 27001) и «законом» (GDPR).
- [ ] Назову три вида артефактов, которые аудитор может запросить у DevOps.
- [ ] Понимаю, почему «у нас всё в Confluence» — слабое доказательство без логов.

## Когда комплаенс касается DevSecOps напрямую

| Ситуация | Ваша задача как инженера |
|----------|--------------------------|
| Внешний аудит ISO через 2 месяца | Собрать выборку логов CI за квартал |
| Запрос DPO: «где лежат email пользователей» | Data map + namespace/backup inventory |
| Клиент B2B прислал security questionnaire | Ответы по сканам, RBAC, шифрованию |
| Инцидент с ПДн | Технический timeline + доказательства containment |

Юридические формулировки согласовывает compliance-офис; вы поставляете **факты и артефакты**.

## Мини-словарь раздела

- **GRC** (Governance, Risk, Compliance) — управление рисками и соответствием.
- **DPO** (Data Protection Officer) — ответственный за защиту персональных данных.
- **SoA** — Statement of Applicability, матрица контролей ISO 27001.
- **RoPA** — реестр операций обработки персональных данных.
- **DPIA** — оценка рисков обработки для субъектов данных.

## Типичный путь чтения

1. **День 1** — [iso27001-obzor.md](iso27001-obzor.md): связать Annex A с пайплайном.
2. **День 2** — [gdpr-i-personalnye-dannye.md](gdpr-i-personalnye-dannye.md): логи и retention.
3. **День 3** — [audit-evidence.md](audit-evidence.md): собрать учебный пакет из логов Lab 01–02.

Записывайте вопросы к юристам в отдельный файл `questions-for-legal.md` — это нормальная практика.

## Мифы о комплаенсе

| Миф | Реальность |
|-----|------------|
| «ISO сертификат = нас не взломают» | Сертификат про процессы, не про магию |
| «GDPR только для ЕС-компаний» | Если есть пользователи из ЕС — затрагивает |
| «Аудит раз в год — хватит» | Evidence нужен непрерывно, аудит — выборка |
| «Compliance тормозит DevOps» | Автоматизация ускоряет сбор доказательств |

## Чеклист готовности к аудиту (инженер)

- [ ] Список всех CI jobs security с датой включения.
- [ ] Политика: кто approves risk exception.
- [ ] Inventory сервисов с ПДн (хотя бы таблица).
- [ ] Примеры логов без секретов и лишних ПДн.
- [ ] Контакт DPO / security lead для эскалации.

Даже два пункта из списка выше — уже лучше, чем «мы стараемся быть безопасными» без документов.

## Связь с практикой

| Лабораторная | Комплаенс-угол |
|--------------|----------------|
| [Lab 01](../11-praktikum/lab-01-secrets-v-git.md) | Контроль утечек credentials |
| [Lab 04](../11-praktikum/lab-04-incident-tabletop.md) | GDPR 72h, post-mortem |
| Trivy в CI | Управление уязвимостями A.8.8 |

## Дальше

Начните с [ISO 27001 — обзор](iso27001-obzor.md), затем [GDPR и персональные данные](gdpr-i-personalnye-dannye.md), завершите [доказательствами для аудита](audit-evidence.md). Следующий раздел курса: [10 — Инструменты](../10-instrumenty/README.md).