מדיניות גישה וקטע

1) מטרה ועקרונות

המטרה: לצמצם את הסיכון של הדלפות/הונאות והשלכות רגולטוריות באמצעות בקרות קפדניות של ”למי, למה ולמה יש גישה”,

עקרונות: החיסיון המועט ביותר (זכויות מינימום), הצורך בידיעה, אפס אמון, הפרדה בין חובות (SoD), Just-in-Time (JIT), Traceability וחזרה בלחיצה אחת.

2) סיווג מידע ורמות הגנה

3) מודל גישה: RBAC + ABAC

RBAC (תפקידים): מטריצה בסיסית לרזולוציית תפקידים.
(ABAC): כללי הקשר (תחום שיפוט של שחקן/מפעיל, קטע סביבתי, רגישות מוגדרת, הזזה/זמן, התקן, רמת אימות KYC, משימת שירות/מטרה).

• מנתח השיווק יכול לקרוא את השולחנות _' רק למדינות שבהן יש הסכמה לאנליטיקה, רק בימי חול 08: 00-21: 00, רק מהרשת התאגידית/התקן MDM, ללא שדות PII (מיסוך מופעל).

4) הפרדת חובות (נגד הונאה וציות)

5) JIT, שברי זכוכית SUPAM

(JIT (Just-in-Time: זכויות גבוהות מונפקות עבור מרווח מוגבל (15-120 דקות) עבור משימה מסוימת ונשללות באופן אוטומטי.
פריצת זכוכית: גישת חירום באמצעות הליך נפרד (MFA + אישור שני + סימן חובה), הקלטה מלאה של ההפעלה וסקירה פוסט עובדתית.
פאם: עבור חשבונות מנהל - חנויות סיסמאות, אנליטיקה התנהגותית, מפתח/סיבוב סודי, פרוקסי הפעלה עם הקלטה.

6) סגמנט: בינוני, רשת והגיוני

6. סביבות 1: "Prod' efface 'stage" eff' dev ". נתוני Prod לא מועתקים לשלב/dev; משתמש בסטים סינתטיים או כהים.

• Edge/WAF/CDN = אזור היישום = אזור נתונים (DWH/DB) = סודות/KMS.
• היקפי התשלום (PSP/cards) מבודדים מן הפרוד המשותף; CCM/סנקציות - קטע נפרד.
• 6. 3 קטגוריות לוגיות: K8s (ראשי תיבות של Knamerices), Deranant-IDs, DB/Data Directory schemas, מפתחות הצפנה בודדים לדייר/אזור.
• 6. 4 Geo-segmentation: אחסון/עיבוד לפי מיקום (EC/UK/...); מנתבים מנחים ומפתחות באזור.

7) גישה לספקים ולשותפים

מכניקה: דיירים/חשבונות B2B בודדים, היקף API מינימלי, mTLS, IP ברשימה מותרת, זמן חלון.
חוזים: DPA/SLA (רישומים, תקופות שימור, גאוגרפיה, תקריות, תת-מעבדים).
החזרת מפתח, אישור למחיקה, פעולת הסגירה.
ניטור: התראות לכרכים לא תקינים, איסור על יצוא המוני.

8) תהליכים (SOP)

8. 1 בקשה/שינוי גישה

1. יישום IDM/ITSM עם מטרה ומונח.
2. SoD/תחום שיפוט/שיעור נתונים אימות אוטומטי.
3. אישור בעל דומיין + Security/Complication (אם מוגבל +).
4. הוצאה של JIT/גישה קבועה (מינימום סט).
5. רישום: מי/מתי/מה מונפק; תאריך עדכון.

8. 2 תיאום מחדש

רבעון: בעלים מאשרים זכויות של קבוצות; זכויות ללא שימוש אוטומטי (> 30/60 יום).

8. 3 יצוא נתונים

רק באמצעות צינורות/תצוגה מאושרים, לפי רשימות לבנות של פורמטים (CSV/Parquet/JSON), מיסוך ברירת מחדל, חתימה/חשיש, רישום הורדה.

9) מדיניות התקן והקשר

MDM/EMM - גישה מוגבלת/מוגבלת מאוד רק ממכשירים מנוהלים.
אותות הקשר: Geo, רמת הסיכון של התקנים, זמן ביום, מצב MFA, מוניטין IP - כמו תכונות ABAC.
הרחבות דפדפן/לכידת מסך: שליטה ורישום, איסור על קונסולות רגישות.

10) דוגמאות מדיניות (קטעים)

10. 1 YAML (פסאודו) - ABAC לאנליסט שיווק

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 מסכות SQL (רעיון)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) ניטור, יומנים והתראות

שבילי ביקורת: ”READ _ PII”, ”EXPORT _ DATA”, ”FACE _ UPDATE”, ”BREAK _ GLASS”, ”PRIME _ ALLAY”.
KRIs: גישה ללא ”מטרה” = 0; ניסיונות להגביל מאוד מחוץ לחלון; נתח של צ 'קים כושלים; פריקות חריגות.
KPI:% מהבקשות עם JIT - 80%; זמן גישה ממוצע 4 שעות; 100% כיסוי הסמכה מחדש.
זיכרון אוטומטי לאיומים, דוחות חקירה.

12) ציות (מפה קצרה)

GDPR/UK GDPR: מזעור, צורך-לדעת, תאימות DSAR, ביקורת PII.
AML/KYC: גישה לסנקציות/CCM - רק לתפקידים מאומנים, רישום החלטות.
PCI DSS (אם ישים): הפרדת אזורי תשלום, איסור על אחסון PAN/CSC, הפרדת מפתחות/אירוח.
מדיניות גישה פורמלית, ביקורות שנתיות ומבחנים.

13) פאקי

14) מדדי בגרות

סיקור כלל ABAC של נתונים קריטיים 95%.
הפעלות JIT/כל ההגבהות הן 90%.
זמן שלילת היציאה לדרך 15 דקות.
0 תפקוד תפקידים (SoD) תקריות.
100% מיומני הגישה זמינים ומאומתים (חתימה/חשיש).

15) רשימות בדיקה

15. 1 לפני מתן גישה

[ תכלית ], תאריך ובעלת נתונים מוגדרים

[ ] SoD/תחום שיפוט מאומת

[ ] היקף/מיסוך מינימלי מופעל

[ ] MFA/MDM/Network

[ ] כריתת עצים ותאריך שינוי הגדרות

15. סקירה רבעונית 2

[ ] להתפייס עם קבוצות ותפקידים בעלי מבנה ארגוני

[ ] זכויות ”תלוי” אוטומטי

[ ] בדוק אם יש יצוא חריג ושבר זכוכית

[ ] הכשרה והתראות מבחן

16) תרחישים ואמצעים טיפוסיים

תפקיד חדש ”מנהל VIP”

גישה לפרופילי VIP (רעולי פנים), איסור ייצוא, JIT לצפייה חד פעמית של KYC באמצעות כרטיס.

B) BI ביקורת ספק

קריאה רק לחנויות ללא PII, וזמני VPN + Let-List, איסור שמירת מקומי, הורדת יומן.

C) DevOps גישת חירום לדרבן-DB

שברי זכוכית 30 דקות, הקלטה, פוסט-ביקורת עם DPO/Complication, CAPA להפרות.

17) מימוש מפת דרכים

שבועות 1-2: מלאי נתונים/מערכת, שיעורי נתונים, מטריצת RBAC בסיסית, SoD.
שבועות 3-4: ליישם את ABAC (תכונות ראשונות: סביבה, גיאו, שיעור נתונים), זרמי IDM, JIT/זכוכית פריצה, פאם.
חודש 2: תשלום וקטע היקפי של KYC, מפתחות נפרדים/KMS, כתבי עת לייצוא, התראות SOAR.
חודש 3 +: רבעון מחדש של תעודות, סיומת מאפיין (התקן/סיכון), מיסוך אוטומציה, תרגילים רגילים.

TL; DR

RBAC + ABAC + SOD + JIT/PAM * Gradd Segmentation # logs and ABAC. זה מפחית את הסבירות של דליפות והתעללות, מאיץ את הביקורת, ושומר על הפלטפורמה בגבולות GDPR/AML/PCI וסטנדרטים פנימיים.