GH GambleHub

Պարտականությունների բաժանումը և հասանելիության մակարդակը

1) Նպատակներն ու սկզբունքները

Նպատակները

բացառել մեկ վերահսկողությունը կրիտիկական պարամետրերի վրա (գումար/PII/կոմպլենս),

նվազեցնել խարդախության ռիսկը/սխալները,

ստուգել կարգավորիչների և ներքին աուդիտների համար։

Սկզբունքներ ՝ Zero Trust Need-to-Know-SoD (4-eyes), Traceability Traceability Microsocability (արագ ակնարկ)։

2) Տվյալների դասակարգումը և հասանելիության մակարդակը

ԴասՕրինակներՄուտքի հիմնական պահանջները
Publicկայքի բովանդակությունըառանց հեղինակային իրավունքի
Internalվիրահատական ցուցանիշներ առանց PIISSO, read-only դերը
ConfidentialCPH հաշվետվություններ (ագրեգատներ)SSO + MFA, պնդված խմբեր
Restricted (PII/ֆինանսներ)KYC/AML, գործարքներ, RG ազդանշաններABAC + JIT, դաշտերի ամսագիր, WORM-log
Highly Restrictedգաղտնիքները, admin վահանակները, հիբրիդային պարաչափըPAM, գրված նստաշրջաններ, մեկուսացված ցանցեր
💡 Դասարանը գրանցվում է տվյալների/RoPA-ում և կապված է միգրացիայի, ռետենշինի և ալյումինի քաղաքականության հետ։

3) Իրավունքների մոդել ՝ RBAC + ABAC

RBAC 'մրցույթների դերերը (Supert, VIP, Payments, AML, KYC, FRM, BI, DevOps, DPO, Legal)։

ABAC 'կոնտեքստային ատրիբուտներ (միջավայր, աշխարհագրություն, տվյալների դաս, սարք/MDM, ժամանակը, KYC մակարդակը, հասանելիության նպատակը' purpose ", սարքի ռիսկը)։

ABAC-ի օրինակը 'BI-ի վերլուծաբանը կարող է կարդալ «events _» միայն առանց PII-ի, միայն կորպորատիվ ցանցից/MDM-ից, աշխատանքային ժամերին 2019: 00-21: 00, եթե գոյություն ունի ակտիվ հաճախականության դասընթացներ։

4) SoD-ը անհամատեղելի գործառույթների մատրիցա է։

ՖունկցիաԹույլատրվում էԱնհամատեղելի է (պահանջում է բաժանումը/4-eyes)
Paymentsապացուցել եզրակացություններըփոխել հակաֆրոդ կանոնները կամ VIP-ի սահմանները
Anti-Fraud (FRM)կառավարել կանոնները, տեղադրել holdհաստատել սեփական kashauts/chargeback որոշումը
Compliance/AMLEDD/STR/SAR, KYC կարդալըPPH/հում լոգարանների ամբողջական արտահանումը
Support/VIPWindows (դիմակավորված)հասանելիություն KUS/հում գործարքների
Data/BIագրեգատ/անանունացումԴիտում PII առանց «purpose»
DevOps/SREտրանսպորտային ենթակառուցվածքիPII-ի հետ բիզնես սեղաններ կարդալը PII-ի հետ
Developersstage/dev, logs (maskir.) prod-PII
DPO/Privacyաուդիտ, PII ամսագրերպրոդ իրավունքների փոփոխություն
💡 Ցանկացած վիրահատություն, որը ազդում է փողի վրա/PII/սանկցիայի վրա, անցնում է երկաստիճան հաստատություն (նախաձեռնողը հաստատող է)։

5) Մակարդակներ և հասանելիության տեսակներ

Read-only/Noked Read: լռելյայն BI/Supert-ի համար։

Scoped Write-ը 'փոփոխություններն են ինտեգրման/կանոնակարգերի սահմաններում (օրինակ, ձայնագրությունների տեղադրումը)։

Privileged Admin: միայն PAM-ի միջոցով (լաստանավային սեյֆը, նստաշրջանը, նստաշրջանի ձայնագրությունը, գաղտնիքների լուծարումը)։

API/WindoCounts: Նվազագույն կլաստեր, առանձին per ինտեգրման բանալիներ, mTSA։

6) JIT и break-glass

JIT (Just-in-Time) 'ժամանակավոր իրավունքների (15-120 րոպե) հատուկ հյուսետի տակ, ավտոմատ ակնարկում, պարտադիր «purpose»։

Break-glass-ը 'MFA + երկրորդ ապացույցը, նստաշրջանի ձայնագրությունը, Pro + DPO-ի հետադարձ ռևրը, խախտումների ժամանակ օգտագործվող ավտոսրահը։

7) Գործընթացներ (SOP)

7. 1 Հարցում/մուտքի փոփոխություն (IDM/ITSM)

1. Դիմումը 'purpose', ամսաթիվը և տվյալների սեփականատերը։

2. SoD/դասակարգում տվյալների/իրավասության։

3. Կապիտալի սեփականատիրոջ հաստատումը + Express (Restricted +)։

4. JIT/մշտական հասանելիություն (նվազագույն սկոպուս)։

5. Գրանցումը իրավունքների մեջ (վերանայման ամսաթիվը, SLA ակնարկ)։

7. 2 Ճիշտ հավաստագրում

Եժեքվարտալ սեփականատերերը ապացուցում են խմբերի/օգտագործողների իրավունքները։

Չօգտագործված իրավունքների ինքնությունը (> 30/60 օր)։

7. 3 Տվյալների էքսպորտը

Միայն հաստատված վիտրինների/փետուրների միջոցով։ լռելյայն քողարկումը; սպիտակ ցուցակներ հասցեների/ձևերի; / hash ստորագրություն; բեռնման ամսագիր։

8) Գողերի/գործընկերների վերահսկումը

Առանձին B2B-tenants, նվազագույն API սկաուպներ, allow-list IP, ժամանակի պատուհաններ։

DPA/SLA 'հասանելի լոգներ, պահեստավորման ժամկետներ, երկրագրությունը, պատահականները, ենթահամակարգերը։

Օֆբորդինգը 'հետաքննության վերանայումը, մրցույթի հաստատումը, փակման ակտը։

9) Ինտեգրումը անվտանգության և բաղադրիչի հետ

SIEM/SOAR 'ալտերտեր անոմալ ծավալներով/հասանելիություն առանց «purpose »/պատուհանի/geo։

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `PAYMENT_APPROVE`, `BREAK_GLASS`.

GDPR/AML/PCI: Need-to-Know, DSAR-համատեղելիություն, երկրորդային պարագծի բաժանումը, WORM ամսագրերի համար։

10) Օրինակների քաղաքականությունը (բեկորները)

10. 1 VIP մենեջերի քաղաքականություն

Դիմակավորված դիտումը, օրինագծերի արգելքը, JIT-ը 'KYC-ի միասնական դիտման միջոցով։

10. 2 Քաղաքականություն մարքեթինգի վերլուծության համար

Միայն ագրեգատները առանց PII; համաձայնության հասանելիությունը (CBS դրոշը), MDM սարքից, աշխատանքային ժամերին։

10. 3 Կեղծ-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

ԱկտիվությունCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owner
SoD/հասանելիության մակարդակներA/RCCCCCC
RBAC/ABAC դիզայնCCA/RRRRC
JIT/PAM/break-glassIIA/RRICI
Ռետրո սերտիֆիկացումCCARRRR
Էքսպորտը/դիմակավորումCARRRCC

12) Metriki և KRIs/KPIS/KPIS

Coverage ABAC: 2495 տոկոսը կրիտիկական հավաքածուներ են սանիտարական կանոնների տակ։

JIT-rate: Իրավունքների ավելացման 3880 տոկոսը գալիս է JIT-ի նման։

Medboarding TTR-ը '15 րոպե հեռացման/հեռացման պահից։

Աննորմալ հասանելի առանց «purpose»: = 0 (KRI)։

Quarterly recertifae: 100 տոկոսը դերերը/խմբերը ապացուցված են։

Express compli.ru: 100 տոկոսը ստորագրվել է/սեղմված։

13) Չեկ թերթերը

13. 1 Հասանելիությունից առաջ

  • Windows 'purpose', տերմինը, տվյալների սեփականատերը
  • Ստուգումը SoD/միգրացիաների/տվյալների դասարանի ավարտված է
  • Նվազագույն սկոկուպը + դիմակավորում ներառված է
  • MFA/MDM/ցանցային պայմանները պահպանվում են
  • Ամսագրերը և վերանայման ամսաթիվը

13. 2 Եբեքվարտական վերանայման

  • Կրկնեք խմբերը/դերերը օրգանական կառուցվածքի հետ
  • Վերացնել չօգտագործվող իրավունքները
  • Ստուգել break-glass և մեծ օրինագծերը
  • Հաստատել (privacy/2019)

14) Տիպիկ սցենարներ և միջոցներ

A) Ինժեներին անհրաժեշտ է արագ մուտք դեպի BD

JIT 30-60 րոպե, որը գրված է PAM-ի միջոցով, փոստի ռևվ, CAPA խախտումների ժամանակ։

B) Նոր աֆֆիլիատը խնդրում է խաղացողների բեռնումը

Միայն ագրեգատներ/անանուն; ԵԹԵ PII-ը պայմանագիր է, իրավական հիմքը, դաշտերի սպիտակ ցուցակը, ամսագիրը/ստորագրությունը, որը սահմանափակ է հղման ժամանակահատվածը։

C) VIP մենեջերը ցանկանում է տեսնել KYC փաստաթղթերը

Ուղղակի մուտքի արգելքը։ հարցումը AML/KYC-ի միջոցով, մեկ գմբեթով JIT-ի միջոցով, դաշտերի ամբողջական լոգ։

15) Իրականացման ճանապարհային քարտեզը

Շաբաթվա 1-2 'համակարգերի/տվյալների բուլարիզացիա, դասակարգում, RBAC-մատրիցա, առաջնային SoD-2019։

Շաբաթներ 3-4: ABAC ներդրումը (չորեքշաբթի/geo/դաս/MDM), JIT և break-glass, PAM-ի գործարկումը, օրինագծերի ամսագրերը։

Մեկ ամիս 2 'KUS/ստացիոնար պարագծի սեգմենտացիա, առանձին բանալիներ/KFC, SOAR-ալերտներ SoD/ABAC խախտումների վրա։

Մեկ ամիս 3 + 'եռամսյակային ռելեային սերտիֆիկացում, ատրիբուտների ընդլայնում (սարքի/ժամանակի ռիսկ), դիմակավորման ավտոմատացում, tabletop-ուսուցում։

TL; DR

Հասանելիության վստահելի մոդելը = RBAC + ABAC www.SoD-ի տվյալների դասակարգումը 4-eyes wwww.JIT/PAM-ով և կոշտ աուդիտը կատարվում է հիբրիդային հավաստագրման և ածխաջրածինների վերահսկման միջոցով։ Սա նվազեցնում է չարաշահման հավանականությունը և արագացնում է աուդիտի/կարգավորող ստուգումների անցումը։

Contact

Կապ հաստատեք մեզ հետ

Կապ հաստատեք մեզ հետ ցանկացած հարցի կամ աջակցության համար։Մենք միշտ պատրաստ ենք օգնել։

Սկսել ինտեգրացիան

Email-ը՝ պարտադիր է։ Telegram կամ WhatsApp — ըստ ցանկության։

Ձեր անունը ըստ ցանկության
Email ըստ ցանկության
Թեմա ըստ ցանկության
Նամակի բովանդակություն ըստ ցանկության
Telegram ըստ ցանկության
@
Եթե նշեք Telegram — մենք կպատասխանենք նաև այնտեղ՝ Email-ի дополнение-ով։
WhatsApp ըստ ցանկության
Ձևաչափ՝ երկրի կոդ և համար (օրինակ՝ +374XXXXXXXXX)։

Սեղմելով կոճակը՝ դուք համաձայնում եք տվյալների մշակման հետ։