GH GambleHub

עיקרון הזכויות המינימליות הנדרשות

1) מטרה והגדרה

המטרה: לאפשר למשתמש/שירות רק את המשאבים הנחוצים ביותר לביצוע משימה מסוימת, לתקופה המינימלית המספיקה ובנפח המינימלי.
הגדרה: ”מינימום בקווי רוחב (משאבים), עומק (פעולות), זמן (TTL), הקשר (geo/התקן/shift), רגישות (PII/finance)”.

2) עקרונות בסיסיים ליישום

1. צריך לדעת: כל זכות קשורה למטרה מסוימת (בסיס).
2. Time-Bound: זכויות גבוהות שהוענקו עם TTL (JIT); זכויות קבע - קריאה/מסיכה בלבד.
3. Scope-Bound: הגישה מוגבלת על ידי חכירה/אזור/מותג/פרויקט (terant/region scoping).
4. מזעור נתונים: PII מוסווה כברירת מחדל; דה-מסכה - רק על קרקע מפורשת.
5. Traceability: כל גישה + "מטרה "/" כרטיס _ id' log.
6. שלילה: משוב מהיר (offloading law 15 דקות, JIT - משוב אוטומטי).

3) תקשורת עם פקדים אחרים

RBAC: קובע מי בעקרון יכול (תפקיד בסיסי).
מפרט באילו תנאים (geo, התקן/MDM, זמן, רמת KYC, סיכון).
איסור על צירופי תפקידים מסוכנים, דורש 4 עיניים לפעולות רגישות.
סגמנט: רשת/היקפים לוגיים (תשלום, KYC, DWH, סודות).
PAM/JIT/Break-glass: הוצאה בטוחה של הרשאות זמניות והקלטתם.

4) סיווג משאבים ופעולות

שיעור נתוניםדוגמאותרמה מינימלית
ציבורתוכן אתרללא אישור
פנימימדדים לא פיראטייםSSO, לקרוא בלבד
סודידוחות DWH/אגרגטיםSSO + MFA, viewer_... תפקידים
מוגבל (PII/Finance)KYC/AML, עסקאות, RGרעולי פנים, JIT עבור ללא מסכה
מוגבלת ביותרסודות, קונסולות מנהלים, פןפאם, פגישות מוקלטות, בידוד

פעולות: 'READ', 'MASKED _ READ' (ברירת מחדל עבור PII), 'WRITE' (סקופ), 'לאשר' (4 עיניים), 'EXPORT' (דרך חנויות בלבד, חתימה/יומן).

5) הנדסת זכויות משימה לגישה

1. User Story # Purpose: "האנליסט צריך לבנות דו" ח המרה של האיחוד האירופי ללא PII ".
2. רשימת המשאבים: Showcase 'ag _ conversions _ eu'.
3. פעולות: ”READ” (ללא PII), ”EXPORT _ RAW” איסור.
4. שעות עסקים, קורפ VPN/MDM, אזור = האיחוד האירופי.
5. TTL: קבוע רעול פנים לקרוא; JIT לחשיפת מסכות באופן חד-פעמי (אם נדרש).
6. יומנים: ”READ ”/” EXPORT” עם ”מטרה” ו- ”fields _ scope”.

6) הסוואה וחשיפת מסכות סלקטיבית

מיסוך דואר אלקטרוני/טלפון/IBAN/PAN כברירת מחדל;

גישה ללא מסכה (”pii _ unmask”) - רק JIT + ”מטרה” + אישור של בעל תחום/ציות;

בדו "חות - צבירה/k-אנונימיות, איסור על" דגימות קטנות "(סף הפרטיות).

7) זכויות זמניות: JIT ושבר זכוכית

15-120 דקות, כרטיס, רכב, ביקורת מלאה.
פריצת זכוכית: גישה לשעת חירום (MFA + אישור שני, הקלטה, אבטחה + DPO פוסט סקירה).
כספת סודית, מיופה כוח, סיבוב חיסיון.

8) תהליכים (SOP)

8. מענק גישה 1 (IDM/ITSM)

1. טענה עם ”מטרה”, משאבים, TTL/התמדה.
2. SoD/תחום שיפוט/מחלקת נתונים/קישור אוטומטי אימות.
3. אישור הבעלים של דומיין; מוגבלת + - אבטחה/ציות.
4. הנפקת היקף מינימלי (לעתים קרובות רעול פנים).
5. כניסה במרשם הזכויות: תאריך עדכון, SLA חזרה.

8. 2 הסמכה מחדש (רבעון)

בעל התחום מאשר כל קבוצה/תפקיד; זכויות ללא שימוש (> 30/60 ימים) - אוטומטי.

8. 3 יצוא נתונים

רק דרך חנויות מאושרות; פורמט וויטליסטים; חתימה/חשיש; הורד את הרישום PII - דה-פרסון כברירת מחדל.

9) ספק/בקרת מעבד משנה

סקופים מינימליים של API, מפתחות בודדים לאינטגרציה, IP ברשימה, חלונות זמן.
DPA/SLA: תפקידים, רישומי גישה, שימור, גאוגרפיה, תקריות, תת-מעבדים.
החזרת מפתח, אישור למחיקה, פעולת הסגירה.

10) ביקורת וניטור

VERSECTION: ”תפקיד _ הקצאה/ביטול”, ”JIT _ GRANt',” READ _ PII ”,” Export _ DATA ”,” תשלום _ אישור ”,” BREAK _ GLASs'.
SIEM/SOAR: התראות גישה ללא ”מטרה”, כרכים חריגים, פסק זמן/גיאו, הפרת SOD.
עותק לא שונה של יומנים + חשיש שרשרת/חתימה.

11) בגרות מטריצה (KPI/KRI)

כיסוי:% מהמערכות הקריטיות עבור RBAC/ABAC -95%.
יחס קריאה רעול פנים: 95% מהשיחות למח "ש רעולות פנים.
שיעור JIT: 80% מהגבהים הם JIT.
ביטול זכויות על 15 דקות.
היצוא שנחתם: 100% מהיצוא חתום ומחובר.
הפרות SoD: = 0; ניסיונות - בלוק אוטומטי/כרטיס.
ניקוי גישה רדום: 98% מזכויות התלייה נמחקות בתוך 24 שעות.

12) תרחישים טיפוסיים

תצוגת KYC חד פעמית ללקוח VIP

בסיסי: רעול פנים לקרוא במנהל האח "מים.
פעולה: גישת JIT "pii _ unmask 'עבור 30 דקות על הכרטיס, רישום/מסך שדה, פוסט סקירה.

B) מהנדס זקוק לגישה

רק לאחר פאם + JIT, 60 דקות, סשן מוקלט, איסור "SELECt' על ידי PII, פוסט-סקירה ו-CAPA על הפרות.

C) דו "ח BI של מדינה

גישה ליחידות ללא מח "ש; 'אזור [ EEA ]', Corp VPN/MDM, זמן 08: 00-21: 00.

13) אנטי דפוסים ואיך להימנע מהם

”תפקידי-על ”/ירושה ללא גבולות * מפוצלים לתפקידי תחום, כולל ABAC.
הרשאות קבועות ”ליתר ביטחון” * JIT + אוטומטי.
העתקת נתוני Prod כדי dev/stage _ alizing/synthetics.
ייצוא PII מחוץ לחנויות * לובן, חתימה, יומן, מיסוך.
היעדר ”מטרה” = חסימה קשה וכרטיס אוטומטי.

14) RACI (מוגדל)

פעילותציות/חוקיDPOאבטחהSRE/ITנתונים/BIמוצר/Engבעלי דומיין
מדיניות החיסיון המועטה ביותרA/RCCCCCC
עיצוב RBAC/ABAC/JITCCA/RRRRC
איתור מחדשCCARRRR
ייצוא/מסכהCARRRCC
ספקים/חוזיםA/RCCCאניאניאני

15) רשימות בדיקה

15. 1 לפני מתן גישה

[ ] 'purpose' ו ־ TTL
[ ] SoD/תחום שיפוט מאומת
[ ] מיסוך ברירת מחדל, היקף מינימלי
[ ] ABAC Network/Device/Time/Region
[ ] כריתת עצים ותאריך שינוי הגדרות

15. 2 רבעוני

[ ] תיקון תפקידים/קבוצות, זכויות ”תלייה” אוטומטיות
[ ] בדוק אם יש יצוא חריג ושבר זכוכית
[ ] אימוני פרטיות/אבטחה מאומתים

16) מימוש מפת דרכים

שבועות 1-2: מלאי נתונים/מערכת, סיווג, מטריצת תפקידים בסיסית, המאפשרת מיסוך ברירת מחדל.

שבועות 3-4: ABAC (יום רביעי/geo/MDM/time), JIT ו-PAM, ייצוא וויטליסטים, יומני המטרה

חודש 2: ביטול אוטומציה, התראות SOAR (ללא ”מטרה ”/אנומליות), הסמכה מחדש רבעונית.
חודש 3 +: הארכת המאפיינים (סיכון ברמת התקן CUS), סף פרטיות, תרגילי שולחן רגילים.

TL; DR

חיסיון מינימלי = היקף מינימלי + PII מסווה + הקשר ABAC + JIT/PAM + ביקורת קשה וחזרה מהירה. הופך את הגישה לניהולית, מפחית את הסיכון של הדלפות/הונאה, ומאיץ את הביקורות.

Contact

צרו קשר

פנו אלינו בכל שאלה או צורך בתמיכה.אנחנו תמיד כאן כדי לעזור.

התחלת אינטגרציה

Email הוא חובה. Telegram או WhatsApp — אופציונליים.

השם שלכם לא חובה
Email לא חובה
נושא לא חובה
הודעה לא חובה
Telegram לא חובה
@
אם תציינו Telegram — נענה גם שם, בנוסף ל-Email.
WhatsApp לא חובה
פורמט: קידומת מדינה ומספר (לדוגמה, +972XXXXXXXXX).

בלחיצה על הכפתור אתם מסכימים לעיבוד הנתונים שלכם.