GH GambleHub

Davamlı uyğunluq monitorinqi

1) Davamlı uyğunluq monitorinqi nədir

Continuous Compliance Monitoring (CCM) - tələblərin (GDPR/AML/PCI DSS/SOC 2 və s.) Daim işləyən ölçülə bilən nəzarət şəklində ifadə olunduğu sistemli yanaşmadır: siqnalları toplayır, faktları siyasətçilərlə müqayisə edir, alert/biletlər yaradır və sübut yığmaq (evidence). Məqsədlər:
  • Əl yoxlamaları və insan faktorunu azaltın.
  • TTD/MTTR pozuntularını azaltın.
  • «Audit-ready» vəziyyətini hər an təmin edin.
  • policy-as-code ilə dəyişikliklərin tətbiqini sürətləndirin.

2) CCM əhatə dairəsi (scope)

Access & Identity (IAM/IGA): SoD, həddindən artıq rollar, «sahibsiz access».
Məlumat və gizlilik: Retence/TTL, Maskalama, Legal Hold, DSAR-SLA.
Infrastruktur/bulud/IaC: konfiqurasiya sürüklənməsi, şifrələmə, seqmentasiya.
Məhsul/kod/CI-CD: anbarlarda sirləri, SCA/SAST/DAST, OSS lisenziyaları.
Əməliyyatlar/AML: sanksiya/RER-skrininq, anomaliya qaydaları, STR/SAR.
Əməliyyatlar: audit jurnalları, rezervasiya və bərpa, zəifliklər.

3) CCM istinad arxitekturası

Qatlar və axınlar:

1. Siqnalların toplanması: agentlər və konnektorlar (bulud, DD, log, SIEM, IAM, CI/CD, DLP, poçt/çat arxivləri).

2. Normallaşma və zənginləşdirmə: şin hadisələri (Kafka/Bus) + ETL/ELT Compliance vitrinləri.

3. CaC siyasəti: YAML/Rego anbarı/versiyaları, testləri və review ilə siyasətçi.

4. Qaydaların mühərriki (stream/batch): pozuntuları, prioritet və risk sürətini hesablayır.

5. Orkestr: tiketinq/SOAR + RACI, avto-remediation, SLA ekstraksiya eskalasiyası.

6. Evidence/WORM: dəyişməz artefaktlar (qeydlər, konfiqurasiya şəkilləri, hesabatlar).

7. Daşbordlar və hesabatlar: heatmap, KPI/SLO, tənzimləyici boşaltmalar.

4) Siyasət-kimi-kod: mini sxemlər

yaml id: IAM-SOD-007 title: "Prohibition of toxic combination of roles: finance_approver + vendor_onboarder"
scope: ["iam:"]
detect:
query: iam_sod_violations_last_1h. sql severity: high notify: ["GRC","SecOps"]
remediate:
playbook: revoke_extra_role sla:
detect_minutes: 15 remediate_hours: 24 evidence:
sink: s3://evidence/iam-sod/dt={{ts}}
owners: ["IGA","FinanceOps"]
yaml id: GDPR-RET-001 title: "TTL 24м для PI; LegalHold priority"
rule: "object. age_months <= 24          object. legal_hold == true"
detect:
job: retention_scan_daily sla: { detect_minutes: 60, remediate_days: 7 }

5) Standart nəzarət

NormativNəzarətSiqnalFəaliyyət
GDPRTTL və PI aradan qaldırılmasıRetensiyanın pozulması hesabatıbileti + Legal Hold-da silinmə bloku
GDPRDSAR SLA ≤ 30 günSorğu zamanlayıcısıDPO/Legal eskalasiyası
AMLsanksiya/RER-skrininqsiyahılarda matçəməliyyatın dondurulması, case
PCI DSSşifrələmə və seqmentasiya-snapşotlarSOAR düzəliş playbook
SOC 2aylıq giriş reviewIAM hadisələriattest/report kampaniyası

6) Metrika və SLO

Coverage: monitorinq altında olan sistemlərin/məlumatların% -i (hədəf ≥ 90%).
MTTD/MTTR nəzarət: detector/aradan qaldırılması üçün orta vaxt.
Drift Rate: konfiqurasiya drift/ay.
False Positive Rate: qaydalara uyğun olaraq saxta işlərin payı.
Audit Readiness Time: evidence hazırlıq vaxtı (hədəf - saat).
DSAR SLA:% vaxtında bağlandı; media cavab.
Access Hygiene: köhnəlmiş hüquqların payı; SoD pozuntularının bağlanması.

7) CCM Prosesləri (SOP)

1. Tələblərin identifikasiyası → matris «standart → nəzarət → metrika».
2. Dizayn qaydaları → policy-as-code, testlər, PR/review, version.
3. Yerləşdirmə → staging-validasiya, sonra feature-bayraq ilə prod.
4. Monitorinq və alertlər → prioritetləşdirmə (sev/impact), səs-küyün azaldılması, deduplikasiya.
5. Remediation → avto pleybuklar + sahiblərinə biletlər; SLA eskalasiyası.
6. Evidence → dövri şəkillər; WORM/immutability; heş hesabatlar.
7. Yenidən qiymətləndirmə → rüblük tənzimləmə qaydaları, FPR/TPR analizi, A/B müqayisə.
8. Təlim → nəzarət sahibləri, təlimatlar və istisnalar kataloqları (waivers).

8) Alert həyat dövrü

Detect → Triage → Assign → Remediate → Verify → Close → Learn.
Hər bir addım üçün qeyd olunur: sahibi, müddət, görülən tədbirlər, sübut artefaktları.

9) İnteqrasiya

GRC - tələblər, risklər, nəzarət, revyu kampaniyaları, artefaktların saxlanması.
SIEM/SOAR - hadisələrin korrelyasiyası, avtomatik playbuklar.
IAM/IGA - sertifikatlar, SoD, RBAC/ABAC, giriş həyat dövrü.
CI/CD/DevSecOps - uyğunluq geytləri, SAST/DAST/SCA, gizli skan.
Data Platform - «Compliance» vitrinləri, kataloq/lineage, maskalanma.
DLP/EDRM - həssaslıq nişanları, çıxarılma qadağası, jurnallar.
Ticketing/ITSM - SLA, eskalasiya, sahibləri və komandaları haqqında hesabatlar.

10) Daşbordlar (minimum dəsti)

Compliance Heatmap (sistemlər × standartlar × status).
SLA Center (DSAR/AML/PCI/SOC2 şərtlər, gecikmələr).
Access & SoD (zəhərli rollar, «unudulmuş» girişlər).
Retention & Deletion (TTL pozuntuları, Qanuni Hold kilidi).
Infra/Cloud Drift (IaC/real vəziyyət uyğunsuzluqları).
Incidents & Findings (təkrarlama trendləri, remediation effektivliyi).

11) Qaydaların nümunələri (SQL/psevdo)

TTL pozuntuları: 
sql
SELECT user_id, dataset, created_at
FROM pi_objects
WHERE age_months(created_at) > 24
AND legal_hold = false;
SoD münaqişəsi: 
sql
SELECT u. id, r1. role, r2. role
FROM user_roles r1
JOIN user_roles r2 ON r1. user_id = r2. user_id
JOIN users u ON u. id = r1. user_id
WHERE r1. role = 'finance_approver' AND r2. role = 'vendor_onboarder';

12) Rollar və RACI

RolMəsuliyyət
Head of Compliance/DPO (A)Prioritetlər, siyasətlər və istisnalar
Compliance Engineering (R)Codice siyasətləri, konnektorlar, qaydalar, testlər
SecOps/Cloud Sec (R)Monitorinq, SOAR, drift/boşluqlar
Data Platform (R)Vitrinlər, kataloq, lineage, evidence-arxiv
Product/Dev Leads (C)Services və SDLC-də nəzarət inteqrasiyası
Legal (C)Tələblərin və münaqişələrin şərhi (DSAR vs Legal Hold)
GRC/Ops (R)Review Kampaniyalar, Ticketing, SLO/SLA
Internal Audit (I)Müstəqil verifikasiya

13) Istisnaların idarə edilməsi (waivers)

Əsaslandırma və son tarix ilə rəsmi sorğu.
Risk qiymətləndirilməsi və kompensasiya nəzarəti.
Avtomatik xatırlatma.
Hesabatda əks olunması (auditor üçün şəffaflıq).

14) CCM-də gizlilik və təhlükəsizlik

Vitrinlərdə və lojalarda məlumatların minimuma endirilməsi (PII redaksiya).
Vəzifələrin bölünməsi, ən kiçik imtiyazlar.
Immutability (WORM/S3 Object Lock) для evidence.
Hesabatların kriptoqrafik fiksasiyası (heş zəncirləri).
Artefaktlara giriş nəzarəti və jurnallaşdırma.

15) Çek vərəqləri

CCM başlanğıcı

  • Matris «standart → nəzarət → metrika» razılaşdırılmışdır.
  • Əsas siqnal mənbələri qoşulub.
  • Siyasətçilər kodla təsvir olunur, testlər və revyu ilə əhatə olunur.
  • Daşbordlar və alertlər daxildir; SLO/SLA müəyyən edilmişdir.
  • Xüsusi evidence arxivi (immutability).
  • Sahibləri təlim; waivers prosesi müəyyən edilmişdir.

Auditdən əvvəl

  • Siyasət və dəyişikliklər versiyaları yeniləndi.
  • evidence dry-run seçimi keçirilib.
  • Gecikmiş remediation və istisnalar bağlıdır.
  • Coverage/MTTD/MTTR/Drift metrikləri ilə müqayisə edilmişdir.

16) Antipattern

Daimi nəzarət əvəzinə «Audit yoxlamalar».
Prioritetləşdirmə və dekuplikasiya olmadan səs-küylü qaydalar.
Version və test olmadan siyasət.
Sahibləri və SLA olmadan monitorinq.
Evidence dəyişən yerlərdə/hash fiksasiya olmadan.

17) CCM yetkinlik modeli (M0-M4)

M0 Əl: sporadik yoxlamalar, Excel hesabatları.
M1 Instrumental: qismən telemetriya, birdəfəlik qaydalar.
M2 Autodetekt: daimi yoxlamalar, əsas SLO və alertlər.
M3 Orchestrated: SOAR, auto-remediation, «audit-ready» istənilən gün.
M4 Continuous Assurance: SDLC/prode + auditor self-service yoxlamalar.

18) Əlaqəli məqalələr wiki

Komplayens və hesabatların avtomatlaşdırılması

Legal Hold və məlumatların dondurulması

Privacy by Design və məlumatların minimuma endirilməsi

Məlumatların saxlanması və silinməsi qrafikləri

PCI DSS/SOC 2: nəzarət və sertifikatlaşdırma

Hadisə menecmenti və forensika

Yekun

CCM təşkilatın «uyğunluq nəbzidir»: siyasətçilər kodla ifadə olunur, siqnallar davamlı olaraq axır, pozuntular dərhal görünür, sübutlar avtomatik olaraq toplanır və audit yanğına deyil, əməliyyat rutininə çevrilir.

Contact

Bizimlə əlaqə

Hər hansı sualınız və ya dəstək ehtiyacınız varsa — bizimlə əlaqə saxlayın.Həmişə köməyə hazırıq!

İnteqrasiyaya başla

Email — məcburidir. Telegram və ya WhatsApp — istəyə bağlıdır.

Adınız istəyə bağlı
Email istəyə bağlı
Mövzu istəyə bağlı
Mesaj istəyə bağlı
Telegram istəyə bağlı
@
Əgər Telegram daxil etsəniz — Email ilə yanaşı orada da cavab verəcəyik.
WhatsApp istəyə bağlı
Format: ölkə kodu + nömrə (məsələn, +994XXXXXXXXX).

Düyməyə basmaqla məlumatların işlənməsinə razılıq vermiş olursunuz.