Քաղաքական և ընթացակարգերի կյանքի ցիկլը
1) Ինչո՞ ւ կառավարել կյանքի ցիկլը
Քաղաքական և ընթացակարգերը տալիս են «խաղի կանոնները», նվազեցնում են ռիսկերը, ապահովում են համապատասխանությունը (GDPR/AML/PCI DSS/SOC 2 և այլն), միավորում են պրակտիկան և բարձրացնում կանխատեսելիությունը։ Ձևավորված կյանքի ցիկլը (Policy You Lifecycle, PML) երաշխավորում է փաստաթղթերի արդիականությունը և կատարողականությունը, ինչպես նաև ֆոսֆորների համար էվիդենցիայի առկայությունը։
2) Փաստաթղթերի հիերարխիա (տաքսոնոմիա)
Քաղաքականությունը (Policy) 'ինչ պետք է և ինչու։ սկզբունքներ և պարտադիր պահանջներ։
Ստանդարտ (Standard): հաշվարկում է չափված նորմերը (օրինակ, կոդավորումը, TTL, SoD)։
Ընթացակարգ/SOP 'ինչպես անել քայլ առ քայլ; դերեր, ձգաններ, չեկ թերթիկներ։
Windline/Լավագույն պրակտիկան 'առաջարկված, բայց ոչ խիստ։
Պլեյբուկը (operational runbook) 'միգրանցների սցենարներ (միջադեպեր, DR, DSAR)։
Աշխատանքային հրահանգը 'տեղական մանրամասն թիմի/ծառայության համար։
Կապերը 'քաղաքականությունը կարգավորում է ստանդարտ ռուսական պլեյբուկի ընթացակարգերը։ Յուրաքանչյուր փաստաթղթի համար վերահսկողական հայտարարություններ են (www.l statements) և մետրերը։
3) Դերեր և պատասխանատվություն (RACI)
(R — Responsible; A — Accountable; C — Consulted; I — Informed)
4) Կյանքի ցիկլի փուլերը (PML)
1. Կարիքների նույնականացումը
Ձգիչները 'նոր կարգավորումներ, միջադեպեր, մրցույթի արդյունքները, ինտեգրման ներդրումը, նոր միգրացիայի անցումը։
2. Չեռնովիկ և հիմնավորում
Գործողության տարածքը (scope), նպատակները, տերմինների սահմանումը։
Corl statements (պարտադիր պահանջներ) + ռիսկի հիմքը։
Ստանդարտի կարացիա (GDPR/AML/PCI/SOC 2 և այլն)։
Չափված մետրերը և SLO/SLA (օրինակ, DSAR 3530 օր)։
3. Փորձագիտական ակնարկ (peer review)
Legal/DPO, Security, Operations, Data/IAM; մեկնաբանությունների ամրագրում, որոշումների արձանագրություն։
4. Իրականացման և ծախսերի գնահատում
/ համակարգի վրա ազդեցության վերլուծությունը, ավտոմատացման կարիքը, դերերի փոփոխությունը։
5. Մոսկվան և հայտարարությունը
Քաղաքականության հանձնաժողովը (Policy Board) կամ Executive Sponsor-ը։ ID-ի և տարբերակների նշանակումը։
6. Հրապարակումը և հաղորդակցությունը
Քաղաքական (GRC/Deluence) + ծանուցում։
Պարտադիր հավաստագրում (read & understand) ռուսական դերերը։
FAQ/կարճ «one-pager» լայն լսարանի համար։
7. Ներդրումներ և ուսուցում
L&D ծրագրերը, e-learning, պաստառներ/հիշողություններ, որոնք տեղադրված են ուռուցքաբանության մեջ։
8. Կատարումը և իրականացումը
Քաղաքական գործիչները կարգավորում են տեխնոլոգիական ընթացակարգի ստանդարտները ավտոմատ վերահսկում (Compliance-as-Code)։ Dashbords, alerts, tikets remediation։
9. Բացառությունների կառավարում (Waivers)
Հիմնավորման, ռիսկի գնահատման, վճարման ժամանակահատվածը, փոխհատուցող միջոցները, բացառությունները, պարբերական հաշվարկը։
10. Վերանայումը և փոփոխությունը
Հիբրիդային ակնարկ (սովորաբար ամեն տարի, կամ ձգաններով)։ Փոփոխությունների դասերը 'Major/Minor/Emergency։ Տարբերակումը, changelog, ընթացակարգերի հակառակը։
11. Աուդիտ և արդյունավետության վերահսկողություն
Ներքին աուդիտ/արտաքին ստուգումներ 'դիզայնի և վիրահատական արդյունավետության թեստեր, նմուշներ, կանոնների վերափոխումներ։
12. Արխիվացում և հեռացում գործողությունից (Sunset)
Փոխարինման/միավորման գովազդը, միգրացիոն պլանը, հղումների փոխանցումը, արխիվը WORM-ի հետ։
5) Մետատվական քաղաքականությունները (նվազագույն կազմը)
ID, Տարբերակ, Կարգավիճակ (Delaft/Action/Deprecated/Archived), Հրատարակման/2019, Սեփականատեր, Կոնտակտներ։
Sco.ru (որ/որտեղ/որի համար), իրավասությունները և բացառությունները։
Տերմինների և կրճատումների սահմանումները։
Պարտադիր պահանջներ (www.l statements) + չափելի ցուցանիշներ։
RACI-ը ընթացակարգերով։
Հղումներ/կախվածություն (ստանդարտներ, ընթացակարգեր, պլեյբուսներ)։
Բացառությունների կառավարման գործընթացը (waivers)։
Կապված ռիսկերը և KRI/KPI-ը։
Ուսուցման և հավաստագրման պահանջները։
Տարբերակների պատմությունը (changelog)։
6) Տարբերակների և փոփոխությունների կառավարումը
Դասակարգում
Major 'սկզբունքների/պարտադիր պահանջների փոփոխություն; անհրաժեշտ է կրկնվող հավաստագրում։
Minor 'ձևակերպման/օրինակների ուղղությունները։ ծանուցում առանց պարտադիր հավաստագրման։
Emergency: Արագ ուղղություններ 'միգրացիայի/կարգավորիչի պատճառով; postum ամբողջական ակնարկ։
Տարբերակների ամսագրի օրինակ
7) Տեղայնացումը և միգրացիոն ներդրումները
Ռուսական տարբերակը կորպորատիվ լեզվով + տեղական ծրագրերը (Country Drendum)։
Թարգմանությունները տերմինոլոգիական գլոսարիայի միջոցով են։ իրավաբանական վալիդացիա։
Տարբերությունների վերահսկումը 'տեղական տարբերակը կարող է փախչել, բայց չի թուլացնում Winter-ի պահանջները։
8) Ինտեգրումը համակարգերի և տվյալների հետ
GRC պլատֆորմ 'փաստաթղթերի խմբագրում, կարգավիճակներ, սեփականատերեր, հեղափոխականներ, wwaivers։
IAM/IGA 'սովորելու և սերտիֆիկացման կապեր դերերի հետ։ արգելել մուտքի արգելքը։
SystePlatform: Տվյալների կատալոգը, lineage, զգայունությունը։ վերահսկում TTL/rententing։
CI/CD/DevSecOps: Gatts 2019; թեստերը (policy-as-code) և evidence հավաքումը։
SIEM/SOAR/DLP/EDRM 'կատարման, ալերտերի և remediation։
HRIS/LTS 'դասընթացներ, թեստեր, proof-of-completion։
9) Արդյունավետության մետրերը (KPI/KRI)
Coverage: աշխատողների/դերերի տոկոսը, որոնք անցել են հավաստագրումը ժամանակին։
Policy Adoption-ը այն գործընթացների մասն է, որտեղ պահանջները ներդրված են ստանդարտներին/ընթացակարգերին։
Ecteption Rate: col-ակտիվ waivers-ը և տոկոսի տևողությունը։
Drift/Violae: Խախտումներ ավտոմատացված կառավարությունների վրա։
Audit Readiness Time-ը 'evidence ընտրության ժամանակը կոնկրետ քաղաքականության մասին։
Contate Cadence-ը այն փաստաթղթերի մասն է, որոնք անցել են ստուգման ժամանակ։
Mean Time to Dimate (MTTU) 'ձգողից մինչև ակտիվ տարբերակը։
10) Բացառությունների կառավարումը (Waivers) գործընթացն է։
1. Հարցումը, որը նկարագրում է պատճառները, ռիսկերը, ժամկետները, որոնք փոխհատուցում են միջոցները։
2. Ռիսկի և ռիսկի գնահատումը (Owner + Compliance + Legal)։
3. Մոսկվան 1922 թվականին; միացում վերահսկողություններին և համակարգերին։
4. Կարդացեք և հիշեցումներ վերանայման/փակման մասին։
5. Ավտոմատ հեռացում կամ երկարացում Հանձնաժողովի որոշմամբ։
11) Աուդիտ և կատարման ստուգում
Desportvs Operating Effectiveness-ը 'պահանջների և իրական կատարման առկայությունը։
Sampling/Analyt.ru: Cass-ի նմուշը, IaC-ի համեմատությունը իրական կազմաձևն է, CaC-ի կանոնները։
Follow-up-up 'վերահսկողություն wwww.remediation, որը համապատասխանում է Findings-ին։
12) Չեկ թերթերը
Քաղաքականության ստեղծում/նորարարություն
- Որոշված նպատակներ և scope; տրված են տերմինների սահմանումները։
- Սահմանված են պարտադիր պահանջներ և չափումներ։
- Կարգավորող/ստանդարտների քարտ։
- Peer review (Legal/SecOps/Operts/J)։
- Հաշվարկված են աշխատողները և իրականացման պլանը։
- Մոսկվան/Հովանավորը։
- Հրապարակումը պորտալում + հաղորդակցության վրա։
- Ուսուցում/սերտիֆիկացում է տրամադրված։
- Նորարարված ստանդարտներ/ընթացակարգեր/պլեյբուսներ։
- Վերահսկվում են և հավաքում evidence։
Տարեկան ստուգում
- Ստուգված են կարգավորող և ռիսկերի փոփոխությունները։
- Խախտումների վերլուծությունը/waivers/աուդիտի գտածոն վերացված է։
- Մետրերը և SLO/SLA-ը։
- Կրկնակի հավաստագրում կատարվեց (եթե Major)։
- Նորարարված changelog և տեղայնացման արձաններ։
13) Քաղաքականության կառուցվածքի ձևը (օրինակ)
1. Նպատակը և օգտագործման տարածքը
2. Որոշումներ և կրճատումներ
3. Պարտադիր պահանջներ (Corl Statements)
4. Դերերը և պատասխանատվությունը (RACI)
5. Ստանդարտներ/Ընթացակարգեր/Պլեյբուկի (հղում)
6. Գծապատկերներ և կատարումներ
7. Բացառություններ (Waivers) և փոխհատուցող միջոցներ
8. Ստանդարտների համապատասխանությունը (Mapping)
9. Ուսուցում և սերտիֆիկացում
10. Փաստաթղթի կառավարում (վարկածներ, հյուրանոցներ, կոնտակտներ)
14) Փաստաթղթերի և համարակալման կառավարում
ID ձևաչափը '«POL-SEC-001», «STD-MS-021», «SOP-DSAR-007»։
Անվանման և պիտակների միասնական կանոնները (tags) պորտալի համար 'տիրույթ, պաշտպանություն, աուդիտ թեմաներ։
«Բիթային հղումների» վերահսկումը, ավտո-ռեդիրետները փաստաթղթերի sunset/միաձուլման ժամանակ։
15) Ռիսկեր և հակատանկեր
«Քաղաքականությունը առանց կատարման» 'չկա ստանդարտներ/ընթացակարգեր/վերահսկում են waivers և խախտումներ։
Բանավոր բանաձևերը առանց չափման, չեն կարող դիմանալ ածխաջրածինին և ավտոմատացմանը։
Փաստաթղթերի միջև դուբլի և փոխկապակցվածության միջև չկա մեկ սեփականատեր/ռուբլիա։
Ուսուցման և հավաստագրման բացակայությունը 'պաշտոնական համաձայնություն առանց հասկանալու։
Տարբերակների և ավելացումների կառավարում չկա 'տարբերություններ, կարգավորող ռիսկեր։
16) PML-ի հասունության մոդելը (M0-M4)
M0 Փաստագրական ՝ ցրված ֆայլեր, հազվագյուտ թարմացումներ, ձեռքով հաղորդագրություններ։
M1 Կատալոգը ՝ մեկ ստանդարտ, հիմնական մետատվյալներ, ձեռքեր։
M2 Կառավարվող 'ֆորմալ RACI, Raivers-2019։
M3 Ինտեգրված ՝ GRC + IAM/LTS, policy-as-code, ավտոմատացված վերահսկում և evidence։
M4 Medinuous Assurance-ը 'ստուգումներ և հաշվետվություններ «կոճակի վրա», www.ru/տարբերակները ինքնաբերաբար համաժամացվում են, ռիսկի ձգիչները սկսում են նորարարությունները։
17) Կապված wiki հոդվածները
Շարունակական կոմպոզիցիա (MSM)
Կոմպլանսի և հաշվետվությունների ավտոմատիզացիան
Legal Hold-ը և տվյալների սառեցումը
Privacy by Design-ը և տվյալների նվազեցումը
DSAR 'օգտագործողների հարցումները տվյալների վրա
Բիզնեսի շարունակականության պլանը (BCP) և PPP
PCI DSS/SOC 2 'վերահսկում և հավաստագրում
Արդյունքը
Քաղաքական գործչի կենսական ցիկլը կառավարվող համակարգ է 'միասնական տաքսոնոմիա, թափանցիկ դերեր, չափելի պահանջներ, պարամետրեր և ավտոմատացված վերահսկումներ։ Այս համակարգում փաստաթղթերը չեն փոշոտվում, նրանք աշխատում են, ուսուցանում, վերահսկում ռիսկերը և դիմանում ցանկացած աուդիտի։