Շարունակական կայունություն
1) Ի՞ նչ է շարունակական կայունությունը։
Continuus Compliance Monitoring (MSM) համակարգային մոտեցում է, որի դեպքում պահանջները (GDPR/AML/PCI DSS/SOC 2 և այլն) արտահայտվում են չափման տեսքով, որոնք անընդհատ աշխատում են 'հավաքում են ազդանշաններ, նվազեցնում են փաստերը քաղաքական գործիչների հետ, ստեղծում են ալերտներ/ticets և այլն կուտակում են ապացույցներ (evidence)։ Նպատակները
Նվազեցնել ձեռքով ստուգումները և մարդկային գործոնը։
Կրճատել TTD/MTTR խախտումները։
Ապահովել «audit-ready» վիճակը ցանկացած պահի։
Արագացնել փոփոխությունների ներդրումը policy-as-code-ի միջոցով։
2) MSM (scope)
Հասանելի և ինքնություն (IAM/IGA): SoD, ավելցուկ դերեր, «հասանելի առանց սեփականատիրոջ»։
Տվյալները և գաղտնիությունը 'վերականգնումը/TTL, դիմակավորում, Legal Hold, DSAR-SLA։
Ենթակառուցվածքը/ամպը/IaC 'միգրացիաների դրեյֆը, կոդավորումը, սեգմենացիան։
Ապրանքը/կոդը/CI-CD: գաղտնիքները ռեպոզիտորներում, SCA/SOM/DLS, OFC արտոնագրեր։
Գործարքներ/AML: սանկցիոն/RER սկրինինգը, անոմալիաների կանոնները, STR/SAR։
Վիրահատություններ ՝ ռուսական ամսագրեր, պահեստավորում և վերականգնում, խոցելիություն։
3) MSM-ի հանրաքվե-ճարտարապետությունը
Շերտերն ու հոսքերը
1. Ազդանշանների հավաքումը '108 և կոնեկտորներ (ամպեր, BD, լոգներ, SIEM, IAM, CI/CD, DLP, փոստ/չաթի արխիվներ)։
2. Նորմալացում և հարստացում 'իրադարձությունների անվադողեր (Kafka/Bus) + ETL/ELT վիտրինի մեջ։
3. Քաղաքական-կոդը (CaC) 'YAML/Rego/քաղաքական, տարբերակներով, թեստերով և խանդավառությամբ։
4. Կանոնների շարժիչը (stream/batch) հաշվարկում է խախտումներ, գերակայություն և ռիսկի սկոր։
5. Orcestration: tiketing/SOAR + էսկալացիա RACI, auto-remediation, SLA-ի դիմադրություն։
6. Evidence/WORM: անփոփոխ արտեֆակտներ (լոգներ, եզրերի նկարներ, հաշվետվություններ)։
7. Դաշբորդներն ու հաշվետվությունները 'heatmap, KPI/SLO, կարգավորող։
4) Քաղաքականություններ, ինչպիսիք են կոդը 'մինի սխեմաներ
yaml id: IAM-SOD-007 title: "Prohibition of toxic combination of roles: finance_approver + vendor_onboarder"
scope: ["iam:"]
detect:
query: iam_sod_violations_last_1h. sql severity: high notify: ["GRC","SecOps"]
remediate:
playbook: revoke_extra_role sla:
detect_minutes: 15 remediate_hours: 24 evidence:
sink: s3://evidence/iam-sod/dt={{ts}}
owners: ["IGA","FinanceOps"]yaml id: GDPR-RET-001 title: "TTL 24м для PI; LegalHold priority"
rule: "object. age_months <= 24 object. legal_hold == true"
detect:
job: retention_scan_daily sla: { detect_minutes: 60, remediate_days: 7 }5) Տիպերը վերահսկվում էին ստանդարտներով
6) Metriki և SLO
Coverage: Համակարգերի/տվյալների տոկոսը դիտարկման տակ (նպատակը 3690 տոկոսն է)։
MTD/MTTR վերահսկում էին, միջին ժամանակը մինչև մանկատուն/վերացումը։
Drift Rate: Խմբակցությունների/մեզ։
False Positive Rate-ը կեղծ աշխատանքի մասն է կանոններով։
Audit Readiness Time: evidence պատրաստման ժամանակը (նպատակը ժամացույցն է)։
DSAR SLA 'փակված% ժամանակին։ պատասխանն է։
Windows Hygiene-ը հնացած իրավունքների մասն է։ SoD խախտումներ։
7) DRM գործընթացները (SOP)
1. Ռուսական մատրիցի պահանջների նույնականացումը «բացատրում է ռուսական մետրիկի վերահսկումը»։
2. Policy-as-code, թեստեր, PR/revew, տարբերակումը։
3. Ռուսական staging-validation, ապա համագործակցում է feature դրոշի հետ։
4. Պիտերբուրգները և ալերտները կանխատեսում են գերակայություն (sev/impact), աղմուկի բարձրացում, deduplication։
5. Remediation wwww.auto pleybuks + ticets սեփականատերերին։ SLA-էսկալացիա։
6. Evidence-ը պարբերական նկարներ է, WORM/immutability; հեշ կամարներ։
7. Վերագնահատումը բացատրում է կանոնների եբևարտային թյունինգը, FPR/TPR, A/B համեմատությունները։
8. Ուսուցումը վերահսկում, հրահանգներ և բացառություններ (waivers)։
8) Ալերտի կյանքի ցիկլը
Detect → Triage → Assign → Remediate → Verify → Close → Learn.
Յուրաքանչյուր մրցույթի համար գրանցվում են 'սեփականատերը, ժամկետը, միջոցները, ապացույցների արտեֆակտները։
9) Մոսկվան
GRC - պահանջներ, ռիսկեր, վերահսկում, քարոզարշավներ, արտեֆակտների պահպանում։
SIEM/SOAR-ը իրադարձությունների հարաբերությունն է, ավտոմատ փուչիկները։
IAM/IGA - հավաստագրում, SoD, RBAC/ABAC, հասանելի կյանքի ցիկլը։
CI/CD/DevSecOps-ը ռուսական, SFC/DMS/SCA խաղացողներն են, գաղտնիք-սկանը։
Platform-ը «Compliant» վիտրինն է, կատալոգը/lineage, դիմակավորում։
DLP/EDRM-ը զգայունության բարձրացումն է, էքսֆիլտրացիայի արգելքը, ամսագրերը։
Ticketing/ITSM - SLA, էսկալացիա, սեփականատերերի և թիմերի հաշվետվություններ։
10) Dashbords (նվազագույն հավաքածու)
Compliance Heatmap (ստանդարտ ստանդարտների համակարգերը ստանդարտ կարգավիճակը)։
SLA SLA (DSAR/AML/PCI/SOC2 ժամկետները, ժամկետները)։
Express & SoD (թունավոր դերեր, «մոռացված» հասանելի)։
Retention & Coretion (TTL խախտումներ, Legal Hold)։
Infra/Cloud Drift (IaC/իրական վիճակի անհամապատասխանությունները)։
Incidents & Findings (խոհարարների միտումները, remediation արդյունավետությունը)։
11) Կանոնների օրինակներ (SQL/կեղծ)
TTL խախտումները
sql
SELECT user_id, dataset, created_at
FROM pi_objects
WHERE age_months(created_at) > 24
AND legal_hold = false;SoD հակամարտություն
sql
SELECT u. id, r1. role, r2. role
FROM user_roles r1
JOIN user_roles r2 ON r1. user_id = r2. user_id
JOIN users u ON u. id = r1. user_id
WHERE r1. role = 'finance_approver' AND r2. role = 'vendor_onboarder';12) Դերեր և RACI
13) Բացառությունների կառավարում (waivers)
Հիմնավորման և ամսաթվի պաշտոնական հարցումը։
Ռիսկի գնահատումը և փոխհատուցողները վերահսկում էին։
Avto-հիշեցում վերանայման մասին։
Արտահայտումը հաշվետվություններում (թափանցիկությունը ագրեսորի համար)։
14) Սեփականատիրությունը և անվտանգությունը MSM-ում
Տվյալների նվազեցումը վիտրիններում և լոգարաններում (PII-խմբագրություն)։
Պարտականությունների բաժանումը, ամենափոքր առավելությունները։
Immutability (WORM/S3 Object Lock) для evidence.
Կրիպտոգրաֆիկ ֆիքսումը (հեշ շղթաներ)։
Մուտքի վերահսկումը և թղթադրամները արտեֆակտների վրա։
15) Չեկ թերթերը
SDM արձակումը
- Մատրիցան «Ռուսական մետրի վերահսկումը» համաձայնեցված է։
- Ազդանշանների հիմնական աղբյուրները միացված են։
- Քաղաքական գործիչները նկարագրում են ծածկագիրը, ծածկված են թեստերով և խանդավառությամբ։
- Ներառված են dashbords և alerta; SLO/SLA։
- Evidence արխիվը (immutability)։
- Ուսուցիչները կրթված են. է waivers գործընթացը։
Աուդիտի առաջ
- Քաղաքական և փոփոխությունների տարբերակները։
- Evidence.
- Փակված են remediation և բացառություններ։
- Coverage/MTTD/MTTR/Drift։
16) Անտիպատերնի
«Ստուգումներ խողովակաշարին» անընդհատ վերահսկման փոխարեն։
Աղմկոտ կանոնները առանց առաջնահերթության և դեդուպլացիայի։
Քաղաքական գործիչները առանց տարբերակման և թեստերի։
Առանց սեփականատերերի և SLA-ի։
Evidence-ը փոփոխված վայրերում/առանց hash-ամրագրման։
17) PPM-ի հասունության մոդելը (M0-M4)
M0 Runnaya 'սպորադիկ ստուգումներ, Express-ի հաշվետվություններ։
M1 Գործիքային 'մասնակի հեռաչափություն, տարբեր կանոններ։
M2 Avtetek 'անընդհատ ստուգումներ, հիմնական SLO և ալերտներ։
M3 Orchestrated: SOAR, auto-remediation, «audit-ready» ամեն օր։
M4 Synuous Assurance-ը 'ստուգումներ MSLC/վաճառում + ֆոսֆորի ինքնահսկումը։
18) Կապված wiki հոդվածները
Կոմպլանսի և հաշվետվությունների ավտոմատիզացիան
Legal Hold-ը և տվյալների սառեցումը
Privacy by Design-ը և տվյալների նվազեցումը
Տվյալների պահպանման և տեղադրման գրաֆիկները
PCI DSS/SOC 2 'վերահսկում և հավաստագրում
Կառավարումը և ֆորենզիկան
Արդյունքը
MSM-ն կազմակերպության «իմպուլս» է, քաղաքական գործիչները արտահայտված են կոդով, ազդանշանները անընդհատ հոսում են, խախտումները անմիջապես երևում են, ապացույցները ինքնաբերաբար հավաքվում են, իսկ աուդիտը վերածվում է վիրահատական ռուտինի, ոչ թե կրակի։