مسیرهای حسابرسی و ردیابی دسترسی
1) هدف و محدوده
هدف: برای اطمینان از قابلیت اطمینان از اقدامات کاربر/خدمات، شفافیت تحقیقات، انطباق با الزامات قانونی و استانداردهای داخلی (GDPR/AML، قرارداد با ارائه دهندگان PSP/KYC، ISO/PCI، در صورت وجود).
پوشش: تمام سیستم های تولید، خدمات پلت فرم (حساب، پرداخت، ضد تقلب، CUS/تحریم ها، RG)، پانل های مدیریت، دروازه های API، DWH/BI، زیرساخت (K8s/cloud)، ادغام با فروشندگان.
2) چه چیزی را وارد کنید (کلاس های رویداد)
1. شناسایی و دسترسی: ورود/خروج، MFA، تغییر رمز عبور/کلید، SSO، دسترسی «شیشه ای».
2. اقدامات اداری: تغییر در نقش ها/حقوق، تنظیمات، قوانین ضد تقلب/تحریم ها، پرچم های ویژگی.
3. عملیات با PII/داده های مالی: خواندن/صادرات/حذف، آپلود، دسترسی به KYC، مشاهده پروفایل های VIP.
4. معاملات و پول: پول نقد/سپرده، لغو، بازده، تصمیمات بازپرداخت.
5. انطباق/AML/KYC: نتایج غربالگری (تحریم/PEP/رسانه های نامطلوب)، تصمیم گیری (TP/FP)، EDD/STR/SAR.
6. حوادث و امنیت: تشدید، تغییرات قانون WAF/IDS، جداسازی سرویس، چرخش مخفی.
7. ادغام/فروشندگان: تماس های API، خطاها، زمان بندی، صادرات، تایید حذف/بازگشت داده ها.
3) زمینه های رویداد اجباری (حداقل)
'event _ id' (UUID), 'ts _ utc', 'ts _ local', 'source _ service', 'trace _ id '/' span _ id'
«actor _ type» (کاربر/سرویس/فروشنده)، «actor _ id» (شناسه قوی)، «actor _ org» (اگر B2B)
'subject _ type' (account/tx/document/dataset), 'subject _ id'
'عمل' (به عنوان مثال.، 'READ _ PII'، 'EXPORT _ DATA'، 'ROLE _ UPDATE'، 'برداشت _ تایید')
'result' (موفقیت/انکار/خطا) и 'دلیل '/' خطا _ کد'
'ip'، 'device _ fingerprint'، 'geo' (کشور/منطقه)، 'auth _ context' (MFA/SSO)
'fields _ accessed '/' scope' (هنگام کار با PII/داده های مالی) - با پوشش
'purpose '/' ticket _ id' (دلیل: DSAR، حادثه، درخواست تنظیم کننده، کار عملیاتی)
4) غیر قابل تغییر و اثبات پذیری
ذخیره سازی WORM برای کپی «طلایی» (سیاست های سطل/نگهداری تغییر ناپذیر).
امضای رمزنگاری/زنجیره هش: به صورت دوره ای امضا دسته ای از حوادث و/یا ایجاد زنجیره ای از هش (زنجیره هش) برای شناسایی تغییرات.
ورود به سیستم از تغییرات به طرح/قوانین: طرح نسخه و سیاست ورود به سیستم; هر ویرایش از طریق CAB عبور می کند.
ذخیره سازی دو حلقه: فهرست آنلاین (جستجو) + آرشیو/غیر قابل تغییر.
5) هماهنگ سازی زمان و ردیابی
تنها NTP/Chrony در تمام محیط ها ؛ در سیاهههای مربوط - 'ts _ utc' به عنوان منبع حقیقت.
برای هر ورود به سیستم - 'trace _ id '/' span _ id' برای ردیابی پایان به پایان درخواست (ارتباط بین خدمات، فروشندگان و جلو).
6) حریم خصوصی و اسرار
ممنوع: کلمات عبور، نشانه ها، PAN/CSC کامل، شماره سند کامل، بیومتریک خام.
پوشش پیش فرض: ایمیل/تلفن/IBAN/PAN → نشانه/نمایش جزئی.
نام مستعار: 'user _ id' → توکن پایدار در تجزیه و تحلیل ؛ اتصال به یک شناسه واقعی - فقط در یک حلقه محافظت شده.
سازگاری DSAR: توانایی انتخابی استخراج سیاهههای مربوط به موضوع بدون آشکار PII خارجی.
7) عمر مفید و سطح (حفظ)
8) دسترسی و کنترل (RBAC/ABAC)
نقش خواندن گزارش حسابرسی جدا از نقش های مدیریت است.
MFA و دسترسی فقط در زمان (شکستن شیشه) با خودکار لغو/ورود به سیستم از دلایل.
سیاست «حداقل»: دسترسی به PII/زمینه های مالی تنها در صورت لزوم و با تثبیت «هدف».
صادرات/آپلود: لیست سفید مقصد و فرمت ؛ امضای اجباری/هش، ورود به سیستم آپلود.
9) ادغام SIEM/SOAR/ETL
جریان رویداد حسابرسی برای همبستگی ها وارد SIEM می شود (به عنوان مثال، ورودی جرم 'READ _ PII' + از دستگاه جدید).
کتابهای پخش SOAR: بلیط های خودکار برای نقض سیاست ها (بدون «هدف»، حجم غیر طبیعی، دسترسی به خارج از پنجره).
ETL/DWH: 'audit _ access'، 'pii _ exports'، 'admin _ changes' پنجره ها با کنترل کیفیت و نسخه بندی طرح.
10) کیفیت داده ها و اعتبار سنج
طرح ها به عنوان کد (JSON/Protobuf/Avro): زمینه های مورد نیاز، انواع، لغت نامه ها ؛ اعتبارسنج هاي سي. آي. اي
رد و قرنطینه صف برای حوادث با خطاهای طرح ؛ معیارهای قراضه.
Deduplication/idemotency توسط (event_id، trace_id، ts) ؛ کنترل ارسال مجدد
11) RACI
12) SOP: بررسی دسترسی به داده ها
1. ماشه: هشدار SIEM (غیر طبیعی 'READ _ PII '/صادرات)، شکایت، سیگنال از فروشنده.
2. مجموعه ای از مصنوعات: تخلیه حوادث توسط 'actor _ id '/' subject _ id '/' trace _ id'، ورود به سیستم 'هدف'، سیاهههای مربوط (WAF/IdP).
3. تأیید قانونی: حضور یک بنیاد (DSAR/incident/service task)، هماهنگی، پنجره های دسترسی.
4. ارزیابی تاثیر: محدوده/دسته PII، حوزه های قضایی، ریسک به افراد.
5. راه حل: پل حادثه (زمانی که بالا/بحرانی)، مهار (لغو دسترسی، چرخش کلید).
6. گزارش ها و CAPA ها: علل، سیاست های نقض شده، اقدامات (پوشش، آموزش، تغییرات RBAC)، مهلت ها.
13) SOP: صادرات داده ها (تنظیم کننده/شریک/DSAR)
1. درخواست → تأیید بنیاد و هویت (برای DSAR) → تولید درخواست به DWH.
2. Depersonalization/minimization به طور پیش فرض ؛ درج PII فقط به دلایل قانونی.
3. Download generation (CSV/JSON/Parquet) → signature/hash → write to the download log (who/when/what/to/reason).
4. انتقال از طریق یک کانال تایید شده (sFTP/Secure link) ؛ دوره نگهداری کپی - توسط سیاست.
5. پس از بازرسی: تایید دریافت، حذف فایل های موقت.
14) معیارها و KRI ها/KPI ها
پوشش: سهم سیستم های بحرانی ارسال رویدادهای حسابرسی ≥ 95٪.
خطاهای DQ: رویدادهای رد شده توسط اعتبار سنج ≤ 0. 5 درصد از جریان
MTTD از دست دادن جریان: ≤ 15 دقیقه (هشدار در سکوت).
دسترسی های غیر طبیعی بدون «هدف»: = 0 (KRI).
زمان پاسخ به تحقیق: متوسط ≤ 4 ساعت، P95 ≤ 24 ساعت.
امضا/صادرات هش: 100٪.
حفظ: حذف/آرشیو در زمان ≥ 99٪.
15) فروشنده و زیر پردازنده مورد نیاز
DPA/SLA: شرح گزارش های حسابرسی (طرح ها، شرایط، جغرافیا، قالب صادرات)، WORM/غیر قابل تغییر، SLA از اطلاعیه های حادثه.
دسترسی فروشنده: حسابهای سرویس نامگذاری شده، سیاهههای مربوط به اقدامات آنها، امکان حسابرسی انتخابی.
Offboarding: لغو کلید، صادرات/حذف سیاهههای مربوط، بسته شدن عمل، تایید تخریب پشتیبان.
16) ایمنی و حفاظت در برابر دستکاری
جداسازی نقش ها: مدیر منبع ≠ مدیر ذخیره سازی ≠ حسابرس.
امضای عامل/گردآورنده، mTLS بین اجزاء.
کنترل های Anti-tamper: مقایسه هش ها، چک های یکپارچگی منظم، هشدار برای اختلاف.
تکرار جغرافیایی نسخه های WORM و تست های بازیابی منظم.
17) خطاهای نوع و ضد الگوهای
Logging sensitive values (PAN/secrets) → گنجاندن فوری redaction-middleware.
گم شدن «هدف »/« ticket _ id» هنگام دسترسی به PII.
آپلود محلی «به دسکتاپ» و ارسال از طریق ایمیل.
عدم وجود یک طرح واحد و اعتبارسنجی → فیلدهای خاموش، عدم امکان همبستگی.
یک حساب فوق العاده تنها بدون اینکه به یک شخص یا خدمات وابسته باشد.
18) چک لیست
18. 1 راه اندازی سیاست/بررسی
- طرح ها و لغت نامه ها تایید می شوند ؛ زمینه های مورد نیاز شامل
- پوشش و ممنوعیت اسرار فعال می شود
- NTP پیکربندی شده، 'trace _ id' در همه جا
- لایه های گرم/گرم/سرد/WORM انباشته می شوند
- RBAC/ABAC و شکستن شیشه طراحی شده اند
- SIEM/SOAR یکپارچه، هشدار تست شده است
18. 2 حسابرسی ماهانه
- صادرات انتخاب: امضا/سیاهههای مربوط درست
- بررسی نگهداری/حذف/نگه داشتن قانونی
- معیارهای DQ OK، تجزیه قرنطینه
- سیاهههای مربوط به فروشنده در دسترس/کامل
19) پیاده سازی نقشه راه
هفته 1-2: موجودی سیستم، هماهنگی طرح ها و زمینه های اجباری، تنظیمات زمان و ردیابی.
هفته 3-4: فعال کردن ماسک، لایه WORM، ادغام SIEM/SOAR، در حال اجرا سیاهههای مربوط صادرات.
ماه 2: اتوماسیون اعتبار سنج/هشدار، دفترچه های تحقیق، آموزش تیم.
ماه 3 +: ممیزی های منظم، آزمون های استرس یکپارچگی، ممیزی های فروشنده/قرارداد.
TL ؛ دکتر متخصص
مسیرهای حسابرسی قوی = رویدادهای کامل و ساخت یافته + غیر قابل تغییر (WORM) و امضا + PII ماسک + دسترسی سخت و سیاهههای مربوط به آپلود + یکپارچه سازی SIEM/SOAR. این تحقیقات را سرعت می بخشد، خطرات را کاهش می دهد و انطباق را قابل اثبات می کند.