Հասանելիության և սեգմենացիայի քաղաքականությունը

1) Նպատակը և սկզբունքները

Նպատակը 'նվազագույնի հասցնել արտահոսքի/խարդախության ռիսկը և կարգավորող հետևանքները խիստ վերահսկողության միջոցով «Ո՞ վ, թե ինչու և ինչու է այն հասանելի», որը ապացուցում է միգրանտների համար։

Սկզբունքները ՝ Least Privilege (նվազագույն իրավունքներ), Need-to-Know, Zero Trust, Segregation of Duties (SoD), Just-in-Time (JIT), հետադարձ և հասանելիությունը մեկ կլինիկում։

2) Տվյալների դասակարգումը և պաշտպանության մակարդակները

3) Մուտքի մոդել ՝ RBAC + ABAC

RBAC (դերեր) 'ռուսական մատրիցը «ռուսական լուծման դերը»։

ABAC (ատրիբուտներ) 'կոնտեքստային կանոններ (խաղացողի/օպերատորի միգրացիա, միջավայրի հատվածը, հավաքման զգայունությունը, փոփոխությունը/ժամանակը, սարքը, KYC ստուգման մակարդակը, պաշտոնական առաջադրանքը/purpose)։

ABAC-ի օրինակը (տրամաբանություն)

Marketing-վերլուծաբանը կարող է կարդալ «events _» աղյուսակները միայն այն երկրների համար, որտեղ կա վերլուծության համաձայնություն, միայն աշխատանքային օրերին ՝ 07: 00-21: 00, միայն կորպորատիվ ցանցից/MDM սարքերից, առանց PII դաշտերի (դիմակավորում ներառված է)։

4) SoD-ը պարտականությունների բաժանումն է (հակաֆրոդ և կոմպլենս)

5) JIT, break-glass и PAM

JIT (Just-in-Time) 'բարձր իրավունքները տրվում են սահմանափակ պայմանագրերին (15-120 րոպե) հատուկ առաջադրանքի համար և ինքնաբերաբար արձագանքում են։

Break-glass: Վթարային հասանելիությունը առանձին ընթացակարգի միջոցով (MFA + երկրորդ ապացույցը + պարտադիր purpose), նստաշրջանի ամբողջական ձայնագրությունը և փոստի ֆակտումը։

PAM 'admin հաշիվների համար' գաղտնաբառեր, վարքագծային վերլուծություն, կոդերի/գաղտնիքների ռոտացիա, ձայնագրություններ։

6) Հատվածներ ՝ միջին, ցանցային և տրամաբանական

6. 1 Միջավայր ՝ «www.d.ru»։ Տվյալները չեն պատճենում stage/dev; օգտագործվում են սինթետիկ կամ կեղծանունային հավաքածուներ։

6. 2 Ցանցեր (գոտիների օրինակ)

Edge/WAF/CDN www.App-գոտի International-գոտի (SNH/DB) www.Secrets/KMS։

Հիբրիդային պարիմետրը (PMS/քարտեր) մեկուսացված է ընդհանուր կոդից։ KUS/սանկցիաները առանձին սեգմենտն են։

6. 3 Տրամաբանական սեգմենտացիա ՝ անունների տարածքները (K8s), tenault-IDs, BD/wwww.per ten.ru/տարածաշրջանը։

6. 4 Գեո սեգմենտացիա 'պահպանումը/մշակումը ըստ տեղանքի (EC/UK/...); Գուիդների և կղզիների ուղղությունը տարածաշրջանում։

7) Գողերի և գործընկերների հասանելիությունը

Մեխանիկա 'առանձին B2B-tenants/wwww.orld ձայնագրություններ, նվազագույն API սկոպուս, mTSA, allow-list IP, պատուհանի ժամանակը։

Պայմանագրեր ՝ DPA/SLA (ամսագրեր, պահեստավորման ժամկետներ, աշխարհագրություն, միջադեպեր, ենթահամակարգեր)։

Օֆբորդինգը 'հետաքննության վերանայումը, մրցույթի հաստատումը, փակման ակտը։

Տե՛ ս ՝ ալտերտեր անոմալ ծավալների վրա, զանգվածային ածխաջրածինների արգելք։

8) Գործընթացներ (SOP)

8. 1 Հարցում/մուտքի փոփոխություն

1. Դիմումը IDM/ITSM-ում purpose-ով և։

2. SoD/իրավասություն/տվյալների դասարան։

3. Տիրույթի սեփականատիրոջ հաստատումը + Lenta.ru/Compli.ru (եթե Resricted +)։

4. JIT/մշտական հասանելիություն (նվազագույն հավաքածու)։

5. Ամսագրեր ՝ ով/երբ/ինչ է տրված, վերանայման ամսաթիվը։

8. 2 Պարբերական ստանդարտ (recertifae)

Եժեքվարտալ 'սեփականատերերը ապացուցում են խմբերի իրավունքները։ չօգտագործված իրավունքների ինքնավարություն (> 30/60 օր)։

8. 3 Տվյալների էքսպորտը

Միայն հաստատված պլայնայի/վիտրինի միջոցով, սպիտակ ցուցակներով (CSV/Parquet/JSON), լռելյայն, ստորագրությունը/հեշը, բեռնման ամսագիրը։

9) Սարքերի քաղաքականությունը և համատեքստը

MDM/EMM: մուտք դեպի Restricted/Highly Resricted միայն կառավարվող սարքերից։

Կոնտեքստային ազդանշաններ 'գեո, սարքի ռիսկի սկոր, օրվա ժամանակը, MFA վիճակը, IP-ի հեղինակությունը որպես ABAC ատրիբուտներ։

Զննարկիչ ընդլայնումները/էկրանի գրավումը 'վերահսկումը և ամսագիրը, զգայուն վահանակների արգելքը։

10) Քաղաքական (բեկորներ) օրինակներ

10. 1 YAML (կեղծ) - ABAC մարքեթինգի վերլուծության համար

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL դիմակավորում (գաղափար)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Մոսկվա, ամսագրեր և ալերտներ

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.

KRIs: հասանելի է առանց «purpose» = 0; փորձեր դեպի Highly Restricted պատուհանից դուրս; ձախողված SoD ստուգումների մասնաբաժինը; աննորմալ արտանետումներ։

KPI 'JIT-ի հարցումների տոկոսը 80 տոկոսն է։ մուտքի միջին ժամանակը 244 ժամ; ծածկույթ 100%։

SOAR-pleybooks 'ավտոմեքենայի ակնարկ սպառնալիքների ժամանակ, թիկետներ հետազոտության համար։

12) Պահանջների համապատասխանությունը (կարճ քարտեզը)

GDPR/UK GDPR: Նվազեցում, Need-to-Know, DSAR համատեղելիություն, PII աուդիտ։

AML/KYC 'KUS/սանկցիաների հասանելիությունը միայն պատրաստված դերերի համար, որոշումների ամսագիրը։

PCI DSS (եթե կիրառելի է) 'հիբրիդային գոտի, PAN/CSC պահեստավորման արգելք, առանձին բանալիներ/հոստինգ։

ISO/ISSA ՝ ձևավորված հասանելիության քաղաքականություն, տարեկան աուդիտներ և թեստեր։

13) PACI

14) Հասունության մետրերը

ABAC-ի կրիտիկական տվյալների հավաքածուների ծածկումը 95 տոկոսն է։

JIT նստաշրջանները/բոլոր իրավունքների ապահովումը 90 տոկոսն է։

Մուտքի վերանայման ժամանակը www.boarding-15 ռուբլիա

0-ը «ֆունկցիայի դերը» (SoD)։

ամսագրերի 100 տոկոսը հասանելի և հավատարմագրված է (ստորագրություն/հա)։

15) Չեկ թերթերը

15. 1 Հասանելիությունից առաջ

• Dipurpose, ժամանակահատվածը և տվյալների սեփականատերը []
• SoD/միգրացիաների ստուգումը ավարտվել է
• Նվազագույն սկոկուպը/դիմակը ներառված են
• MFA/MDM/ցանցային պայմանները պահպանվում են
• Ամսագիրը և վերանայման ամսաթիվը վճռական են []

15. 2 Եբեքվարտալ ակնարկ

• Խմբերը և դերերը օրգանական կառուցվածքի հետ
• Ինքնավստահություն «կախված» իրավունքների
• Անոմալ ածխաջրածինների ստուգում և break-glass
• Ուսուցում և թեստային ալերտներ

16) Տիպիկ սցենարներ և միջոցներ

A) «VIP մենեջեր» նոր դերը

VIP (դիմակավորված) պրոֆիլներին հասանելիությունը, ածխաջրածինների արգելքը, JIT-ը տարբեր KYC դիտելու միջոցով։

B) BI Wendor-աուդիտ

read-only վիտրինների համար առանց PII, MSN + allow-list, տեղական պահպանման արգելք, բեռնման ամսագիր։

C) DevOps-ի շտապ հասանելիությունը 2019-BD-BD-ին

break-glass-30 րոպե, նստաշրջանի ձայնագրումը, DPO/Compliance, CAPA խախտումների ժամանակ։

17) Ճանապարհային քարտեզը

Շաբաթները 1-2: Տվյալների/համակարգերի, տվյալների դասարանների, RBAC-մատրիցի, SoD-ի։

Շաբաթներ 3-4: ներդրել ABAC (առաջին ատրիբուտները 'չորեքշաբթի, գեո, տվյալների դաս), IDM հոսքերը, JIT/break-glass, PAM։

Մեկ ամիս 2 'մետրոպոլիտենի և KYC-պարագծի հատվածներ, առանձին բանալիներ/KMS, օրինագծերի ամսագրեր, SOAR-ալերտներ։

Մեկ ամիս 3 + 'եռամսյակային ռելեային հավաստագրություն, ատրիբուտների ընդլայնում (սարք/ռիսկ), դիմակավորման ավտոմատիզացում, ուսուցում։

TL; DR

Հասանելիության հուսալի մոդելը = տվյալների դասակարգումը www.RBAC + ABAC 24SoD + JIT/PAM-ն հաստատեց ռուսական ամսագրերի և ալերտների կոշտ հատվածը։ Սա նվազեցնում է արտահոսքի և չարաշահման հավանականությունը, արագացնում է աուդիտը և պահում պլատֆորմը GDPR/AML/PCI և ներքին ստանդարտներում։