पहचान लेखा परीक्षा
1) उद्देश्य और परिणाम
लक्ष्य: जीरो ट्रस्ट के सिद्धांतों और नियमित सत्यापन के माध्यम से कम से कम विशेषाधिकार प्रदान करना कि कहां और क्यों पहुंच है।
परिणाम: पुष्ट मालिकों के साथ पहचान और अधिकारों का एक पूर्ण और अप-टू-डेट रजिस्टर, "जमे हुए" पहुंच को समाप्त कर दिया, आंतरिक नियंत्रण और नियामकों के लिए एक औपचारिक साक्ष्य आधार।
2) स्कोप
आंतरिक उपयोगकर्ता: कर्मचारी, इंटर्न, पर्यवेक्षक, अस्थायी भूमिकाएं।
ठेकेदार/भागीदार: गेम स्टूडियो, पीएसपी/केवाईसी/एएमएल प्रदाता, सहयोगी।
सेवा पहचान: बॉट्स, सीआई/सीडी, एकीकरण, कुंजी और एपीआई टोकन।
विशेषाधिकार प्राप्त भूमिकाएं: बुनियादी ढांचा/डेटाबेस प्रशासन, भुगतान, जोखिम, व्यापार।
खिलाड़ी (केवाईसी संदर्भ में): खाता बंडल की शुद्धता ↔ केवाईसी प्रोफाइल ↔ आरजी/एएमएल स्टेटस (प्रक्रियाओं की जाँच, दस्तावेज़ सामग्री नहीं)।
3) शर्तें और सिद्धांत
पहचान: विशेषताओं के साथ एक अद्वितीय इकाई (व्यक्ति/सेवा)।
पात्रता: एक संसाधन के लिए एक विशिष्ट अधिकार/भूमिका।
जेएमएल: जॉइनर → मूवर → लीवर - पहचान जीवन चक्र।
SoD: उच्च जोखिम वाले संचालन के लिए कर्तव्यों का अलगाव।
कम से कम विशेषाधिकार और जस्ट-इन-टाइम (JIT): सीमित समय के लिए दिए गए अधिकारों का न्यूनतम सेट।
जवाबदेही: प्रत्येक पहचान का एक मालिक होता है, प्रत्येक अधिकार में एक व्यावसायिक मामला और
4) सत्य और डेटा मॉडल के स्रोत
HRIS/HR सिस्टम: कर्मचारी की स्थिति का प्राथमिक स्रोत (किराया/चाल/निकास)।
IdP/SSO: एकल प्रमाणीकरण बिंदु (MFA/FIDO2), महासंघ।
IAM/IGA: पुनरावृत्ति भूमिकाओं, नीतियों और प्रक्रियाओं की सूची।
CMDB/सेवा कैटलॉग: सिस्टम और एक्सेस लूप का स्वामित्व।
प्रदाता प्लेटफार्म: PSP/KYC/CDN/WAF/गेम प्रदाता - बाहरी पहुंच पोर्टल।
Модель: पहचान → (संबंधित) → ओर्ग यूनिट/टीम → (है) → भूमिकाएं → (ABAC के माध्यम से विस्तार) → हकदारी → (लागू) → संसाधन।
5) ऑडिट किए गए नियंत्रण
1. एसएसओ और एमएफए हर जगह (स्थानीय खातों और साझा खातों के बिना)।
2. RBAC/ABAC/PBAC: नीतियों (नीति-जैसे-कोड), भूमिकाओं द्वारा वर्णित अधिकार - विशिष्ट और सुसंगत।
3. SoD: असंगत भूमिकाएँ और अपवाद औपचारिक हैं।
4. JIT/PAM: टिकट, सत्र रिकॉर्डिंग और ऑटो-रिकॉल के साथ अस्थायी पदोन्नति।
5. रहस्य/कुंजियाँ: रोटेशन और जीवनकाल के साथ, रहस्य प्रबंधक में संग्रहीत।
6. लॉग और प्रोविबिलिटी: छेड़ छाड ़-सबूत, सुसंगत ट्रेसिंग कौन/क्या/कहां/कब/क्यों।
7. डेटा एक्सेस: पीआईआई मास्किंग, निर्यात - केवल एन्क्रिप्शन और टीटीएल के साथ वर्कफ़्लो द्वारा।
6) ऑडिट प्रक्रिया (एंड-टू-एंड)
1. तैयारी: सिस्टम द्वारा अधिकारों (हकदारों स्नैपशॉट) के एक स्नैपशॉट को जमना; आईडीपी/आईएएम/प्रदाता से डाउनलोड करें
2. सामान्यीकरण: एक निर्देशिका के लिए मैपिंग भूमिकाएं, डीडुप्लिकेशन, संसाधन मालिकों द्वारा समूहीकरण।
3. जोखिम वर्गीकरण: P1/P2 (विशेषाधिकार प्राप्त और संवेदनशील) → प्राथमिकता सत्यापन
4. अधिकार पुनरावृत्ति: सिस्टम मालिक अधिकारों की पुष्टि/अस्वीकार करते हैं (पहुंच समीक्षा
5. असंगतता और अस्थायी अपवादों के लिए SoD की जाँच (समाप्ति तिथि के साथ)।
6. JML सामंजस्य: वास्तविक अधिकारों के लिए किराया/चाल/निकास (बाहरी पोर्टल सहित) मैपिंग।
7. सेवा खाते: मालिक की उपलब्धता, अल्पकालिक टोकन, कोई "भगवान-दायरा" नहीं।
8. साक्ष्य आधार: कलाकृतियों के एक पैकेज का गठन (रिपोर्ट, अपलोड, कार्य)।
9. उपचारात्मक योजना: रिकॉल/सुधार, समय सीमा और जिम्मेदार व्यक्तियों के लिए टिकट।
10. अंतिम रिपोर्ट: जोखिम की स्थिति, साइकिल केपीआई, सबक सीखा और नीति सुधार।
7) जेएमएल रूपरेखा (जिसे हम गहराई से जांचते हैं)
जॉइनर: बुनियादी भूमिकाओं का स्वचालित असाइनमेंट, निर्देशिका के बाहर मैनुअल "परिवर्धन" का निषेध।
मूवर: कमांड/लोकेशन का परिवर्तन - भूमिकाओं का स्वचालित प्रतिस्थापन, पुराने विशेषाधिकारों का निरसन।
लीवर: एक्स मिनट/घंटे के भीतर सभी अधिकारों का निरसन, मेल/वीपीएन/प्रदाता पोर्टल बंद करना, कुंजी और टोकन अक्षम करना।
8) बाहरी निर्भरता और पोर्टल्स
PSP/KYC/AML/CDN/WAF/गेम प्रदाता: प्रत्येक खाते में एक मालिक, एक लक्ष्य, एक समय सीमा, एक MFA, साझा खातों पर प्रतिबंध है।
संविदात्मक SoD/SLA: P1 संचालन के लिए दोहरे नियंत्रण की उपलब्धता (भुगतान मार्ग बदलना, बोनस सीमा, आदि)।
नियमित सामंजस्य: बाहरी पोर्टल्स का पंजीकरण - वर्तमान उपयोगकर्ताओं की सूची - पुनर्गठन परिणाम।
9) आईगेमिंग डोमेन की विशेषताएं
भुगतान और जोखिम: SoD शाखाओं का चयन करें; सीमा/मार्ग में परिवर्तन पर अद्यतन; मैनुअल समायोजन का ऑडिट।
ट्रेडिंग/कारक: मॉडलिंग के लिए सैंडबॉक्स, व्यक्तिगत प्रकाशन भूमिकाएं, त्वरित रोलबैक; लॉग बदलें।
जिम्मेदार गेमिंग/केवाईसी/पीआईआई: सख्त निर्यात नियंत्रण, बीआई में मास्किंग, नियामक अनुरोधों का एसएलए प्रसंस्करण।
सहयोगी और स्ट्रीमर: पीआईआई तक पहुंच के बिना रिपोर्टिंग क्षमताओं वाले सीमित पोर्टल।
10) कोड के रूप में नीतियां (पीएसी)
भंडार में नीतियां (Rego/YAML), PR समीक्षा, परीक्षण।
अनुमति/इनकार समाधान में गतिशील संदर्भ: पर्यावरण (प्रोड), समय, स्थान, ऑपरेशन की आलोचना, केआरआई संकेत (उदाहरण के लिए, संवेदनशील कार्यों की वृद्धि)।
जेआईटी पदोन्नति के लिए टिकट और लक्ष्य के लिए अनिवार्य बाध्यकारी।
11) जर्नल और प्रोविबिलिटी
घटना श्रृंखला: व्यवस्थापक कंसोल/आईडीपी → API → डेटाबेस → बाहरी प्रदाता।
टैम्पर-स्पष्ट: WORM/अपरिवर्तनीय-भंडारण, रिकॉर्ड के हस्ताक्षर, सख्त TTL।
खोज और प्रतिक्रिया: आंतरिक/बाहरी अनुरोधों (ऑडिट, नियामक, बैंक/साझेदार) पर प्रतिक्रिया का एसएलए।
12) मेट्रिक्स और केपीआई/केआरआई
केपीआई:- समय पर पुष्टि के अधिकारों का हिस्सा (पुनरावृत्ति), अतिदेय अभियानों का%।
- बर्खास्तगी से अधिकारों के निरसन (एमटीटीआर-लीवर) को पूरा करने का समय।
- JIT वेतन वृद्धि बनाम लगातार विशेषाधिकार का हिस्सा।
- प्रति चक्र हल किए गए SoD विरोध की संख्या।
- कवर किए गए सिस्टम और बाहरी पोर्टल्स की पूर्णता।
- संवेदनशील कार्रवाई आसंजन (पीआईआई निर्यात, पीएसपी परिवर्तन)।
- अप्रयुक्त अधिकार> एन दिन।
- पोस्ट-ऑडिट के बिना ब्रेक-ग्लास।
- बिना मालिक/उद्देश्य/अवधि के खाते।
13) कार्यान्वयन रोडमैप (8-12 सप्ताह)
नेड। 1-2: पहचान और सिस्टम (बाहरी पोर्टल सहित), भूमिका कैटलॉग और SoD मैट्रिक्स की सूची।
नेड। 3-4: एसएसओ/एमएफए कनेक्शन हर जगह, हकदारों का एक एकल संग्रह, पहला स्नैपशॉट रिपोर्ट।
नेड। 5-6: आईजीए पुनरावृत्ति अभियान (P1/P2 प्राथमिकता) का शुभारंभ, लीवर के लिए स्वचालित रिकॉल।
नेड। 7-8: उत्पादन सर्किट, रिकॉर्डिंग सत्रों के लिए जेआईटी/पीएएम, प्रदाताओं से साझा खातों पर प्रतिबंध लगाना।
नेड। 9-10: पीएसी: प्रमुख नीतियों का औपचारिककरण (निर्यात पीआईआई, पीएसपी मार्ग, रिलीज), नीतियों का इकाई परीक्षण।
नेड। 11-12: केपीआई/केआरआई डैशबोर्ड, त्रैमासिक चक्र नियम, अनुपालन/नियामकों के लिए रिपोर्टिंग।
14) कलाकृतियाँ पैटर्न
रोल कैटलॉग: भूमिका, विवरण, न्यूनतम विशेषाधिकार, मालिक, प्रयोज्यता (किरायेदार/क्षेत्र/पर्यावरण)।
SoD मैट्रिक्स - असंगत भूमिकाएं/संचालन, अपवाद, अपवाद शब्द और अपवाद स्वामी।
अभिगम समीक्षा पैक: अधिकार पुष्टि पत्र, टिप्पणी, परिणाम (अनुमोदन/निरस्त/शमन)।
सेवा खाता रजिस्टर: उद्देश्य, स्वामी, आजीवन, स्कोप, रहस्यों का भंडारण स्थान, रोटेशन अनुसूची।
बाहरी पोर्टल्स इन्वेंटरी: सिस्टम, संपर्क, उपयोगकर्ता सूची, एमएफए, अंतिम पुनरावर्तन तिथि।
साक्ष्य जाँच सूची: ऑडिट के लिए क्या अपलोड/लॉग और किस प्रारूप में संग्रहीत करना है।
15) एंटीपैटर्न
सामान्य खाते और "हमेशा के लिए व्यवस्थापक"।
IdP/IGA को दरकिनार करने वाले अधिकारों का मैनुअल मुद्दा।
कोई समाप्ति तिथि के साथ कोई SoD या "अस्थायी अपवाद" सहिष्णुता नहीं।
बिना रोटेशन/मालिक के सेवा टोकन।
वर्कफ़्लो और एन्क्रिप्शन के बिना पीआईआई "अक्षर से" निर्यात करें।
बाहरी पोर्टल (PSP/KYC/गेम प्रदाताओं) का कोई ऑडिट नहीं।
16) बार-बार ऑडिट और त्वरित सुधार मिलता है
बर्खास्त/ठेकेदारों से जमे हुए पहुंच: एचआर घटनाओं (लीवर) पर ऑटो-प्रतिक्रिया सक्षम करें।
निरर्थक भूमिकाएँ: छोटी भूमिकाओं के लिए विघटित और ABAC विशेषताओं को बांधना।
प्रदाताओं के साथ साझा खाते: व्यक्तिगत + एमएफए में प्रवास, दुर्लभ कार्यों के लिए अस्थायी भूमिकाओं को जारी करना।
लंबे समय तक रहने वाले रहस्य: अल्पकालिक टोकन/प्रमाणपत्र और नियोजित रोटेशन पर स्विच करना।
17) हादसा-प्रबंधन गुच्छा
पहुंच घटक के साथ कोई भी घटना - जोखिम और नीतियों के रजिस्टर का अनिवार्य अद्यतन, प्रभावित भूमिकाओं का पुनरावर्तन, एक्शन आइटम (और समय सीमा) के साथ पोस्टमार्टम।
कुल
पहचान ऑडिटिंग एक दोहराने योग्य, स्वचालित चक्र है: पहचान और अधिकारों का एक पूरा रजिस्टर - जोखिम-उन्मुख पुनरावृत्ति हार्ड जेएमएल और जेआईटी/पीएएम कोड के रूप में नीतियां और उकसाने वाला ऑडिट - चक्र के परिणाम पर सुधार। यह लूप दुरुपयोग और त्रुटियों की संभावना को कम करता है, जांच को गति देता है, अनुपालन को मजबूत करता है और आईगेमिंग प्लेटफार्मों के प्रमुख व्यवसाय संचालन की रक्षा करता है।