نظارت بر انطباق مداوم

1) نظارت بر انطباق مداوم چیست ؟

• چک های دستی و عوامل انسانی را کاهش دهید.
• کاهش نقض TTD/MTTR.
• ارائه «حسابرسی آماده» دولت در هر زمان.
• سرعت بخشیدن به تغییر از طریق سیاست به عنوان کد.

2) محدوده CCM

دسترسی و هویت (IAM/IGA): SoDs، نقش های اضافی، «دسترسی بدون صاحب».
داده ها و حریم خصوصی: حفظ/TTL، پوشش، حقوقی نگه دارید، DSAR-SLA.
زیرساخت/ابر/IaC: رانش پیکربندی، رمزگذاری، تقسیم بندی.
محصول/کد/CI-CD: اسرار در مخازن، SCA/SAST/DAST، مجوزهای OSS.
معاملات/AML: غربالگری تحریم/PEP، قوانین ناهنجاری، STR/SAR.
عملیات: گزارش های حسابرسی، پشتیبان گیری و بازیابی، آسیب پذیری ها.

3) معماری مرجع CCM

1. مجموعه سیگنال: عوامل و اتصالات (ابر، پایگاه داده، سیاهههای مربوط، SIEM، IAM، CI/CD، DLP، آرشیو ایمیل/چت).

2. عادی سازی و غنی سازی: اتوبوس رویداد (Kafka/Bus) + ETL/ELT در ویترین های انطباق.

3. Policies-as-code (CaC): مخزن سیاست های YAML/Rego با نسخه ها، تست ها و بررسی ها.

4. موتور قوانین (جریان/دسته ای): محاسبه نقض، اولویت و میزان خطر.

5. ارکستراسیون: تشدید بلیط/SOAR + RACI، اصلاح خودکار، قرار گرفتن در معرض SLA.

6. شواهد/WORM: مصنوعات غیر قابل تغییر (سیاهههای مربوط، عکس های پیکربندی، گزارش ها).

7. داشبورد و گزارش: نقشه حرارتی، KPI/SLO، بارگذاری نظارتی.

4) سیاست ها به عنوان کد: مینی نمودار

yaml id: IAM-SOD-007 title: "Prohibition of toxic combination of roles: finance_approver + vendor_onboarder"
scope: ["iam:"]
detect:
query: iam_sod_violations_last_1h. sql severity: high notify: ["GRC","SecOps"]
remediate:
playbook: revoke_extra_role sla:
detect_minutes: 15 remediate_hours: 24 evidence:
sink: s3://evidence/iam-sod/dt={{ts}}
owners: ["IGA","FinanceOps"]

yaml id: GDPR-RET-001 title: "TTL 24м для PI; LegalHold priority"
rule: "object. age_months <= 24          object. legal_hold == true"
detect:
job: retention_scan_daily sla: { detect_minutes: 60, remediate_days: 7 }

5) کنترل های استاندارد توسط استانداردها

6) معیارها و SLO

پوشش:٪ از سیستم ها/داده ها تحت نظارت (≥ هدف 90٪).
کنترل MTTD/MTTR: میانگین زمان تشخیص/حذف.

نرخ رانش: تنظیمات رانش/ماه

نرخ مثبت کاذب: نرخ مثبت کاذب توسط قوانین.
زمان آمادگی حسابرسی: زمان آماده سازی شواهد (ساعت هدف).

DSAR SLA: ٪ در زمان بسته ؛ پاسخ متوسط

بهداشت دسترسی: سهم حقوق منسوخ ؛ بسته شدن نقض SoD.

7) فرآیندهای CCM (SOPs)

1. شناسایی الزامات → ماتریس «استاندارد → کنترل → متریک».
2. Rule design → policy-as-code، تستها، PR/review، نسخهبندی.
3. Deployment → staging validation، سپس prod با پرچم ویژگی.
4. نظارت و هشدار → اولویت بندی (SEV/تاثیر)، لغو سر و صدا، deduplication.
5. اصلاح → خودکار playbooks + بلیط به صاحبان ؛ SLA افزایش می یابد.
6. شواهد → تصاویر دوره ای ؛ کرم/غیر قابل تغییر ؛ خلاصه هش.
7. تجدید ارزیابی → تنظیم سه ماهه قوانین، تجزیه و تحلیل FPR/TPR، مقایسه A/B.
8. آموزش → ورود صاحبان کنترل، دستورالعمل ها و چشم پوشی.

8) چرخه عمر هشدار

Detect → Triage → Assign → Remediate → Verify → Close → Learn را شناسایی کنید.
برای هر مرحله ثبت می شود: مالک، مهلت، اقدامات انجام شده، مصنوعات شواهد.

9) ادغام

GRC - الزامات، خطرات، کنترل ها، کمپین های بازبینی، ذخیره سازی مصنوعی.
SIEM/SOAR - همبستگی رویداد، playbooks خودکار.
IAM/IGA - ارزیابی، SoD، RBAC/ABAC، چرخه عمر دسترسی.
CI/CD/DevSecOps - دروازه های انطباق، SAST/DAST/SCA، اسکن مخفی.
بستر های نرم افزاری داده ها - ویترین «انطباق»، کاتالوگ/خط، ماسک.
DLP/EDRM - برچسب های حساسیت، مهار خروج، سیاهههای مربوط.
بلیط/ITSM - SLAs، افزایش، گزارش مالک و تیم.

10) داشبورد (حداقل مجموعه)

انطباق نقشه حرارتی (سیستم ها × مقررات × وضعیت).
مرکز SLA (مهلت DSAR/AML/PCI/SOC2، تاخیر).
دسترسی و SoD (نقشهای سمی، دسترسی «فراموش شده»).
حفظ و حذف (نقض TTL، قفل نگه قانونی).
مادون قرمز/رانش ابر.
حوادث و یافته ها (روند تکرار، بازده اصلاح).

11) قوانین مثال (SQL/pseudo)

sql
SELECT user_id, dataset, created_at
FROM pi_objects
WHERE age_months(created_at) > 24
AND legal_hold = false;

sql
SELECT u. id, r1. role, r2. role
FROM user_roles r1
JOIN user_roles r2 ON r1. user_id = r2. user_id
JOIN users u ON u. id = r1. user_id
WHERE r1. role = 'finance_approver' AND r2. role = 'vendor_onboarder';

12) نقش ها و RACI

13) مدیریت استثنا (چشم پوشی)

درخواست رسمی با توجیه و تاریخ انقضا.

ارزیابی ریسک و کنترل های جبرانی

یادآوری خودکار بازبینی.

گزارش دهی (شفافیت برای حسابرس)

14) حفظ حریم خصوصی و امنیت در CCM

به حداقل رساندن داده ها در فروشگاه ها و سیاهههای مربوط (نسخه PII).

تفکیک وظایف، حداقل امتیازات

غیر قابل تغییر (WORM/S3 Object Lock) для شواهد.
تثبیت رمزنگاری گزارش ها (زنجیره های هش).
کنترل دسترسی و ورود به مصنوعات.

15) چک لیست

شروع CCM

• ماتریس «استاندارد → کنترل → متریک» توافق شده است.
• منابع اصلی سیگنال متصل هستند.
• سیاست ها توسط کد توصیف می شوند، تحت پوشش تست ها و بررسی ها قرار می گیرند.
• داشبورد و هشدار شامل ؛ SLO/SLA تعریف شده است.
• بایگانی شواهد (تغییرناپذیری) پیکربندی شده است.
• صاحبان آموزش دیده ؛ فرآیند تعریف شده

قبل از حسابرسی

• نسخه های به روز شده از سیاست ها و تغییرات.
• خشک اجرا از انتخاب شواهد اجرا شد.
• بازسازی و تخلف استثنا بسته شده است.
• معیارهای پوشش/MTTD/MTTR/Drift با هم آشتی می کنند.

16) ضد گلوله

«حسابرسی» به جای کنترل دائمی

قوانین پر سر و صدا بدون اولویت بندی و deduplication.
سیاست های بدون نسخه و آزمون.

نظارت بدون مالک و SLA

شواهد در مکان های قابل تغییر/بدون تثبیت هش.

17) مدل بلوغ CCM (M0-M4)

M0 کتابچه راهنمای کاربر: چک های پراکنده، گزارش در اکسل.
M1 ابزاری: تله متری جزئی، قوانین یک بار.
M2 Autodetect: چک های مداوم، SLO های اساسی و هشدارها.
M3 ارکستر: SOAR، اصلاح خودکار، «حسابرسی آماده» هر روز.
M4 تضمین مداوم: چک در SDLC/فروش + حسابرس خود خدمات.

18) مقالات ویکی مرتبط

اتوماسیون انطباق و گزارش دهی

نگهداری قانونی و انجماد داده ها

حریم خصوصی توسط طراحی و به حداقل رساندن داده ها

نگهداری داده ها و برنامه های حذف

PCI DSS/SOC 2 کنترل و صدور گواهینامه

مدیریت حوادث و پزشکی قانونی

مجموع

CCM «پالس انطباق» یک سازمان است: سیاست ها توسط کد بیان می شوند، سیگنال ها به طور مداوم جریان می یابند، نقض بلافاصله قابل مشاهده است، شواهد به طور خودکار جمع آوری می شوند و حسابرسی به یک روال عملیاتی تبدیل می شود، نه آتش سوزی.