GH GambleHub

Նվազագույն անհրաժեշտ իրավունքների սկզբունքը

1) Նպատակը և սահմանումը

Նպատակը օգտագործողին/ծառայությանը թույլ տալն է միայն այն ռեսուրսներին, որոնք խիստ անհրաժեշտ են որոշակի առաջադրանք կատարելու համար, նվազագույն ժամկետի և նվազագույն պայմանով։

Սահմանումը ՝ «առնվազն լայնությամբ (ռեսուրսներ), խորությունը (վիրահատություն), ժամանակը (TTL), ենթատեքստը (գեո/սարք/փոփոխություն), զգայունությունը (PII/ֆինանսներ)»։

2) Իրականացման հիմնական սկզբունքները

1. Need-to-Know: Յուրաքանչյուր իրավունք կապված է purpose-ի հետ։

2. Time-Bound: բարձր իրավունքները տրամադրվում են TTL (JIT) հետ։ անընդհատ իրավունքները միայն read/www.ked են։

3. Scope-Bound: Հասանելիությունը սահմանափակված է/տարածաշրջանի/բրենդի/նախագծի միջոցով (tenault/region scoping)։

4. Մոսկվա-Minimization: PII լռելյայն դիմակավորված է; de-no k - միայն ակնհայտ հիմքով։

5. Traceability: Ցանկացած հասանելի է + «purpose »/« ticket _ id» ամսագիրը։

6. Revocability: Արագ արձագանք (wwww.boarding 3515 րոպե, JIT-ը ավտոմեքենաների պաշտպանություն է)։

3) Կապը այլ վերահսկողության հետ

RBAC-ը տալիս է, թե ով կարող է սկզբունքորեն (հիմնական դեր)։

ABAC: պարզաբանում է, թե որ պայմաններում (գեո, սարք/MDM, ժամանակը, KYC մակարդակը, ռիսկը)։

SoD 'արգելում է դերերի վտանգավոր համադրությունները, պահանջում է 4-eyes զգայուն գործողությունների համար։

Սեգմենտացիան 'ցանցային/տրամաբանական պարիմետրեր (ստացիոնար, KYC, MSH, գաղտնիքները)։

PAM/JIT/break-glass: ապահով ֆորումը ռուսական արտոնություններ և դրանց ձայնագրությունը։

4) Ռեսուրսների և գործողությունների դասակարգում

Տվյալների դասՕրինակներՆվազագույն մակարդակը
Publicկայքի բովանդակությունըառանց հեղինակային իրավունքի
Internalմետրեր առանց PIISSO, read-only
ConfidentialՀաշվետվություններ/PPH ագրեգատներSSO + MFA, «viewer _...» դերերը
Restricted (PII/ֆինանսներ)KYC/AML, գործարքներ, RGked-read, JIT չհանձնված համար
Highly Restrictedգաղտնիքները, admin վահանակները, PAN-ը, PAN-ըPAM, գրված նստաշրջանները, մեկուսացումը

Վիրահատություններ ՝ «READ», «DRKED _ READ» (լռելյայն PII), «WRITE» (scoped), «APROVE _» (4-eyes), «EXPS» (միայն վիտրինի միջոցով, ստորագրման/ամսագիր)։

5) Իրավունքների ինժեներությունը «հասանելի առաջադրանքից»

1. User Story-ը Purpose-ն է. <<Վերլուծությունը պետք է կառուցի ԵՄ-ի փոխակերպման զեկույցը առանց PII>։

2. Ռեսուրսների իրականացումը 'վիտրինը' agg _ conversions _ eu։

3. Վիրահատություններ ՝ "READ" (առանց PII), արգելքը 'EXPS _ RSA "։

4. ABAC-ի կոնտեքստը 'աշխատանքային ժամացույց, Corp-MSN/MDM, տարածաշրջանը = EU։

5. TTL 'անընդհատ ked-read; JIT-ը տարբեր ապամոնտաժման համար (եթե անհրաժեշտ է)։

6. Ամսագրեր ՝ «READ »/« EXPS» -ը '«purpose» և «fields _ scope»։

6) Դիմակավորում և ընտրական ապամոնտաժում

Դիմակավորում e-mail/հեռախոսի/IBAN/PAN լռելյայն;

Չհրապարակված հասանելիությունը («pii _ unmask») միայն JIT + «purpose» + սեփականատիրոջ հաստատումն է/Compliae;

Զեկույցներում կան ագրեգատներ/k-անունություն, «փոքր ընտրության» արգելք (privacy thresholds)։

7) Ժամանակավոր արտոնություններ 'JIT և break-glass

JIT: 15-120 րոպե, տիկետի տակ, ինքնանպատակ, ամբողջական աուդիտ։

Break-glass: վթարային հասանելիությունը (MFA + երկրորդ ապացույցը, նստաշրջանի ձայնագրությունը, Pro + DPO)։

PAM 'գաղտնիքների պահարան, նստաշրջան, արտոնությունների վերացում։

8) Գործընթացներ (SOP)

8. 1 Մուտք (IDM/ITSM)

1. Դիմումը 'purpose', ռեսուրսներով, TTL/կայունությամբ։

2. SoD/իրավասություն/տվյալների/ենթատեքստերի դասը։

3. Տիրույթի սեփականատիրոջ հաստատումը. для Restricted+ — Security/Compliance.

4. Կարիբյան խառնաշփոթ (հաճախ www.ked-read)։

5. Գրանցումը իրավունքների մեջ 'վերանայման ամսաթիվը, SLA ակնարկը։

8. 2 re-հավաստագրում (quarterly)

Տիրույթի սեփականատերը ապացուցում է յուրաքանչյուր դեր/խումբ։ չօգտագործված իրավունքները (> 30/60 օր) ինքնանպատակ է։

8. 3 Տվյալների էքսպորտը

Միայն հաստատված վիտրինների միջոցով։ ձևերի սպիտակ ցուցակները. / hash ստորագրություն; բեռնման ամսագիր; PII-ը լռելյայն է։

9) Գողերի/ենթահամակարգերի կառավարումը

API նվազագույն կլաստերը, per ինտեգրման առանձին բանալիները, allow-list IP-ը, ժամանակի պատուհանները։

DPA/SLA 'դերեր, հասանելի ամսագրեր, rentenshn, աշխարհագրություն, միջադեպեր, ենթահամակարգեր։

Օֆբորդինգը 'հետաքննության վերանայումը, մրցույթի հաստատումը, փակման ակտը։

10) Աուդիտ և կայունություն

Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.

SIEM/SOAR 'ալտերտեր առանց «purpose», աննորմալ ծավալներ, ժամանակի պատուհանի/գեոյի ելքը, SoD խախտումը։

WORM 'ամսագրերի անփոփոխ պատճենը + հեշ շղթաներ/ստորագրություններ։

11) Հասունության մետրերը (KPI/KRI)

Coverage: RBAC/ABAC-ի կրիտիկական համակարգերի տոկոսը 95 տոկոսն է։

Noked Reads Ratio-ը ՝ PII-ի դիմումների 3695 տոկոսը դիմակավորված է։

JIT Rate: Իրավունքների ավելացման 3880 տոկոսը գալիս է JIT-ի նման։

Medboarding TTR-ը '15 ռուբլու իրավունքների արձագանքը

Express Signed: Ածխաջրածինների 100 տոկոսը ստորագրվել և սեղմվել են։

SoD Violations: = 0; փորձեր 'avto բլոկ/ticet։

Dormast Windows Cleanup: 3598 տոկոսը «կախված» իրավունքները հեռացվում են 24 ժամվա ընթացքում։

12) Տիպիկ սցենարներ

A) KYC ռազային դիտումը VIP հաճախորդի համար

Հիմնական 'wwww.ked-read VIP-մենեջերի մոտ։

Գործողություն 'JIT հասանելիություն' pii _ unmask '30 մղոն լռությամբ, դաշտերի ձայնագրումը/scrine-log, հետադարձ։

B) Ինժեներին անհրաժեշտ է մուտք ունենալ-BD-ին։

Միայն PAM + JIT-ի միջոցով 60 րոպե է, գրված նստաշրջանը, արգելքը '«XXXIII» -ը PII-ով, փոփը և CAPA-ը խախտումների ժամանակ։

C) BI զեկույցը կտրվածքով երկրում

Ագրեգատների հասանելիությունը առանց PII; Ֆիլտրը ABAC: , Corp-MSN/MDM, ժամանակը 07: 00-21: 00։

13) Anti-pattern և ինչպես խուսափել դրանք

«Սուպեր ռոլի «/առանց սահմանների ժառանգությունը պլանավորվում է փորձարկել հիբրիդային դերերի վրա, ներառել ABAC-ը։

Անընդհատ արտոնություններ «ամեն դեպքում» wwww.JIT + ինքնագնաց։

Dev/stage-ի տվյալների պատճենումը բացատրվում է կեղծանունով/սինթետիկ։

PII էքսպորտը վիտրինից դուրս պարունակում է սպիտակ ցուցակներ, ստորագրություններ, ամսագիր, դիմակավորում։

«Purpose» -ի բացակայությունը հաստատեց կոշտ բլոկը և auto-ticet-ը։

14) RACI (փխրուն)

ԱկտիվությունCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Least Privilege քաղաքականությունըA/RCCCCCC
RBAC/ABAC/JIT դիզայնCCA/RRRRC
Ռետրո սերտիֆիկացումCCARRRR
Էքսպորտը/դիմակավորումCARRRCC
Գենդորներ/պայմանագրերA/RCCCIII

15) Չեկ թերթերը

15. 1 Հասանելիությունից առաջ

  • Նշեք «purpose» և TTL
  • SoD/միգրացիաների ստուգումը ավարտվել է
  • Լռելյայն, նվազագույն կրճատում
  • ABAC պայմանները ՝ ցանցը/սարքը/ժամանակը/տարածաշրջանը
  • Ամսագիրը և վերանայման ամսաթիվը վճռական են []

15. 2 Եժեքվարտալ

  • Դերերի/խմբերի վերանայումը, ինքնաբերաբար «կախված» իրավունքները
  • Անոմալ ածխաջրածինների ստուգում և break-glass
  • Հաստատված ուսուցում մասնագիտության/անվտանգության վերաբերյալ

16) Իրականացման ճանապարհային քարտեզը

Շաբաթներ 1-2: Տվյալների/համակարգերի բուլարիզացիան, դասակարգումը, դերերի մատրիցը, լռելյայն դիմակահանդեսը։

Շաբաթներ 3-4: ABAC (միջավայր/geo/MDM/ժամանակ), JIT և PAM, սպիտակ ֆորումների ցուցակները, «purpose» ամսագրերը։

Մեկ ամիս 2: ավտոմատիզացում wwww.boarding, SOAR-alerts (առանց «purpose »/anomalia), եռամսյակային հավաստագրում։

Մեկ ամիս 3 + 'ատրիբուտների ընդլայնումը (CUS/սարքի ռիսկը), privacy thresholds, tabletop-ուսուցումը։

TL; DR

Least Privilege = նվազագույն սկոպը + PII + ենթատեքստը ABAC + JIT/PAM + կոշտ աուդիտ և արագ արձագանք։ Այն դարձնում է կառավարվող, նվազեցնում է արտահոսքի/խարդախության ռիսկը և արագացնում է աուդիտի անցումը։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։