ჟურნალებისა და პროტოკოლების მართვა

1) რატომ გვჭირდება ჟურნალები და ოქმები?

ჟურნალები ორგანიზაციის „შავი ყუთია“: ისინი უზრუნველყოფენ მტკიცებულებებს აუდიტისა და გამოძიებისთვის, ამცირებენ ოპერაციულ და მარეგულირებელ რისკს, საშუალებას გაძლევთ აღადგინოთ მოვლენების მიმდინარეობა და დაადასტუროთ პოლიტიკოსის შესრულება (წვდომა, რეტენცია, დაშიფვრა, KYC/AML, PCI და ა.შ.).

• მოქმედების კვალი (ვინ/რა/როდის/სად/რატომ/რა).
• ინციდენტების აღმოჩენა და შეკავება (დეტექტიური და პროფილაქტიკური კონტროლი).
• მტკიცებულება მარეგულირებლების/აუდიტორებისთვის.
• SLA/SLO შესრულების და შესაბამისობის ანალიტიკა.

2) ლოგოების ტაქსონომია (მინიმალური გაშუქება)

წვდომა და იდენტურობა (IAM/IGA): ავთენტიფიკაცია, როლების შეცვლა, SoD, JIT წვდომა.
ინფრასტრუქტურა/ღრუბელი/IaC: API ზარები, კონფიგურაციის დრიფტი, KMS/HSM მოვლენები.
პროგრამები/ბიზნესი: გარიგებები, ოპერაციები PI/ფინანსებთან, მოთხოვნის სასიცოცხლო ციკლი (DSAR).
უსაფრთხოება: IDS/IPS, EDR, DLP/EDRM, WAF, დაუცველობა/პატჩი, ანტივირუსი.
ქსელი: firewall, VPN/Zero Trust, მარიონეტული, DNS.
CI/CD/DevSecOps: შეკრება, უკანა, SAST/DAST/SCA, საიდუმლო სკანირება.
მონაცემები/ანალიტიკა: ხაზები, ფანჯრებზე წვდომა, შენიღბვა/ანონიმიზაცია.
ოპერაციები: ITSM/თიკეტები, ინციდენტები, ცვლადი მენეჯმენტი, DR/BCP ტესტები.
გამყიდველები/3rd-party: ვებჰუკი, SSO ფედერაცია, SLA მოვლენები.

3) მარეგულირებელი მოთხოვნები (მითითებები)

GDPR/ISO 27701: PI- ის მინიმიზაცია/შენიღბვა, გრაფიკა, ლეგალური ჰოლდი, DSAR ტრეკერი.
SOC 2/ISO 27001: აუდიტის ტრეილები, ლოგებზე წვდომის კონტროლი, მაკონტროლებლების შესრულების მტკიცებულებები.
PCI DSS: რუქების ოთხშაბათს/მონაცემებზე წვდომის გაუმჯობესება, ჟურნალების მთლიანობა, ყოველდღიური მიმოხილვა.
AML/KYC: შემოწმების მარშრუტი, სანქციები/REP სკრინინგი, STR/SAR პროტოკოლები.

4) რეფერენდუმის არქიტექტურა

1. Producters: პროგრამები, ღრუბელი, ქსელი, მასპინძელი აგენტები.
2. საბურავი/შემგროვებლები: მიღება უკუკავშირიდან, რეპეტიცია, TLS mTLS, დეპოზიტი.
3. ნორმალიზაცია: ერთი ფორმატი (JSON/OTel), გამდიდრება (tenant, muser, geo, severity).

• ცხელი (ძებნა/SIEM): 7-30 დღე, სწრაფი დაშვება.
• ცივი (ობიექტი): თვეები/წლები, იაფი შენახვა.
• არქივის ღონისძიება (WORM/Object Lock): უცვლელი, ჰაშის ქვითრები.
• 5. მთლიანობა და ხელმოწერა: ჰეშის ჯაჭვები/მერკლის ხე/დროებითი ეტიკეტები.
• 6. წვდომა და უსაფრთხოება: RBAC/ABAC, იურისდიქციის სეგმენტი, საქმის ბაზაზე წვდომა.
• 7. ანალიტიკა და ალერტები: SIEM/SOAR, correlation ID, playbooks.
• 8. კატალოგები და სქემები: მოვლენების ტიპების, ვერსიების, სქემების ტესტები.

5) პოლიტიკა-კოდი (მაგალითები YAML)

Retentia და Legal Hold

yaml id: LOG-RET-001 title: "Access logs retention"
scope: ["iam. ","app. access"]
retention:
hot_days: 30 cold_days: 365 worm_years: 3 legal_hold: true # when Legal Hold is active, block privacy removal:
pii_mask: ["email","phone","ip"]
review: "annual"

მთლიანობა და ხელმოწერა

yaml id: LOG-INT-001 title: "Signature and commercial fixation"
hashing: "SHA-256"
anchor:
cadence: "hourly"
store: "s3://evidence/anchors"
verification:
schedule: "daily"
alert_on_failure: true

6) ჟურნალის ხარისხის მოთხოვნები

სტრუქტურირება: მხოლოდ JSON/OTel, „ნედლეული“ ტექსტის გარეშე.
დროის სინქრონიზაცია: NTP/PTP, დრიფტის კონტროლი; ჩანაწერი 'timestamp', 'received _ at'.
Correlation IDs: 'trace _ id', 'spank _ id', 'request _ id', 'user _ id' (ფსევდონიმი).
საველე სემანტიკა: ლექსიკონი (მონაცემთა ციფრული) და სქემის ხელშეკრულება ტესტებთან.
ლოკალიზაცია/ენა: ველები - ინგლისური. გასაღებები, მნიშვნელობები - ერთიანი (enum).
მოცულობა და ფრენის პოლიტიკა: უკონტროლო ფრენის აკრძალვა; რიგები/კვოტები/sempling რისკით.
მგრძნობიარე მონაცემები: შენიღბვა/დოქი; აკრძალვა მთლიანად შეინარჩუნოს საიდუმლოებები/ბარათები.

7) კონფიდენციალურობა და მინიმიზაცია

PII ჰიგიენა: ჰეშის/ნიშნის ლოგიკა მნიშვნელობების ნაცვლად; მკაცრი ნიღაბი ელექტრონული/ტელეფონისთვის/IP.
კონტექსტი: არ დაურეკოთ payload პირად მონაცემებს მიზეზის გარეშე.
იურისდიქცია: ქვეყნის მასშტაბით შენახვა და წვდომა (მონაცემთა აღდგენა), ასლების კვალიფიკაცია.
DSAR: ძიების ნიშნები და საქმის ექსპორტი; დეპერსონალიზაციით ანგარიშების დაბეჭდვის შესაძლებლობა.

8) უცვლელობა და მტკიცებულებები (immutability)

WORM/Object Lock: პერიოდში ამოღების/გადაწერის აკრძალვა.
კრიპტოვალუტა: ბრძოლების ხელმოწერა; მერკლის ფესვები ყოველდღიური კითხვარით.
შენახვის ჯაჭვი: წვდომის ჟურნალი, ჰაშის ქვითრები, ქვითრები მოხსენებებში.
გადამოწმება: მთლიანობის პერიოდული შემოწმება და გაფრთხილება რასინქრონიზაციის შესახებ.

9) ლოგებზე წვდომის კონტროლი

RBAC/ABAC: როლები „კითხვა/მხოლოდ ძებნა“ vs „ექსპორტი/შარინგი“.
Case-based წვდომა: მგრძნობიარე ლოგოების წვდომა მხოლოდ გამოძიების/თიკეტის ნაწილია.
საიდუმლოებები/გასაღებები: KMS/HSM; როტაცია, split-knowledge, ორმაგი კონტროლი.
წვდომის აუდიტი: ცალკე ჟურნალი „ვინ წაიკითხა რა ლოგოები“ + ალერტები ანომალიებში.

10) მეტრიკა და SLO ლოზუნგები

Ingestion Lag: 95-ე მიღების შეფერხების ცერემონია (მიზანი 60 წამი).
Drop Rate: დაკარგული მოვლენების წილი (მიზანი 0; ალერტი> 0. 001%).
Schema Compliance: სქემის სავალდებულო მოვლენების% (99 ევრო). 5%).
Coverage: ცენტრალიზებული ლოჯისტიკური სისტემების% (კრიტიკული 98%).
Integrity Pass: ჰაშის ჯაჭვების წარმატებული შემოწმება (100%).
Access Review: ყოველთვიური უფლებების რეკლამირება, შეფერხება - 0.
PII Leak Rate: ნაპოვნი „სუფთა“ PI ლოგოებში (მიზანი 0 კრიტიკული).

11) დაშბორდი (მინიმალური ნაკრები)

Ingestion & Lag: მოცულობა/სიჩქარე, lag, drop, „ცხელი“ წყაროები.
Integrity & WORM: კითხვარის, გადამოწმების, Object Lock- ის სტატუსი.
Security Events: კრიტიკული კორელაციები, MITRE ბარათი.
Access to Logs: ვინ და რა წაიკითხა/ექსპორტზე; ანომალიები.
Compliance View: Retention/Legal Hold სტატუსები, აუდიტის მოხსენებები, DSAR ექსპორტები.
Schema Health: პარსინგის შეცდომები/სქემების ვერსიები, მოძველებული აგენტების წილი.

12) SOP (სტანდარტული პროცედურები)

SOP-1: ლოგიკის წყაროს დაკავშირება

1. წყაროს და კრიტიკის რეგისტრაცია (2) სქემის არჩევანი/OTel/3) TLS/mTLS, ნიშნები

2. dry-run stajing- ში (სქემების შესაბამისობა, PII ნიღბები) - 5) კავშირი პროდში

3. კატალოგების/დაშბორდის დამატება (7) რეტენციული შემოწმება/WORM.

SOP-2: რეაგირება ინციდენტზე (ჟურნალები, როგორიცაა evidence)

Detect - Triage Logs (case-scope) - გაყინვა (Legal Hold)

ჰეშის ფიქსაცია და კითხვარი ანალიტიკა/დრო ანგარიში და CAPA გაკვეთილების გამოშვება.

SOP-3: Reg მოთხოვნა/აუდიტი

1. საქმის და ფილტრების გახსნა მოთხოვნის ID- ით (2) ექსპორტის საჭირო ფორმატით

2. Legal/Compliance გადამოწმება (4) hash communition (5) გაგზავნა და ჟურნალები.

SOP-4: ლოგოების წვდომის აუდიტი

მესაკუთრეთა ყოველთვიური სერტიფიკაცია; „ობოლი“ უფლებების მანქანა; ანგარიში SoD- ზე.

13) ფორმატები და მაგალითები

წვდომის მოვლენის მაგალითი (JSON)

json
{
"ts": "2025-10-31T13:45:12. 345Z",
"env": "prod",
"system": "iam",
"event": "role_grant",
"actor": {"type": "user", "id": "u_9f1...", "tenant": "eu-1"},
"subject": {"type": "user", "id": "u_1ab..."},
"role": "finance_approver",
"reason": "ticket-OPS-1422",
"ip": "0. 0. 0. 0",
"trace_id": "2a4d...",
"pii": {"email": "hash:sha256:..."},
"sign": {"batch_id":"b_20251031_13","merkle_leaf":"..."}
}

დეტექტივის წესი (ფსევდო-რეგო)

rego deny_access_if_sod_conflict {
input. event == "role_grant"
input. role == "finance_approver"
has_role(input. subject. id, "vendor_onboarder")
}

14) როლები და RACI

15) მოვაჭრეების მენეჯმენტი და მიწოდების ჯაჭვი

ხელშეკრულებები: ლოგოების აუდიტის უფლება, ფორმატები, SLA შენახვა და წვდომა, WORM/immutability.
სუბპროცესორები: წყაროების რეესტრი და „დასრულებული“ რეტენსია.
ექსპორტი/ოფშორული: განადგურების დადასტურება და ჰაშის მოხსენების მოხსენება.

16) ანტიპატერები

ლოგოები „თავისუფალ ტექსტში“, სქემების და კორელაციის გარეშე.
შენახვა WORM- ის გარეშე და ჰაშის ფიქსაცია არის საკამათო აუდიტზე.
მგრძნობიარე მონაცემები ლოგოებში „როგორც არის“.
არ არსებობს დროის სინქრონიზაცია და ნორმალური ტრეკი _ id.
მოვლენების წილი დატვირთვის მწვერვალებზე; უკუკავშირის არარსებობა.
ლოგებზე უნივერსალური წვდომა საქმის კონტროლის გარეშე.
„მარადიული“ უფლებები ლოგოების წაკითხვისთვის, წინასწარი სერტიფიკაციის გარეშე.

17) ჩეკის ფურცლები

ლოგიკური ფუნქციის დაწყება

განისაზღვრება წყაროების ტაქსონომია და კრიტიკა.

• გამოცხადდა რეგენტაციის სქემები და პოლიტიკა/ლეგალური ჰოლდი (as-code).
• TLS/mTLS, ნიშნები, ავტომობილების განახლებული აგენტები.
• PII ნიღბები/ნიშნები ტესტირებულია.
• WORM/Object Lock და კითხვარი შედის.
• დაშბორდი/ალერტა/მეტრიკა.
• წვდომის აუდიტი და SoD გადაწყვეტილია.

აუდიტის/რეგის მოთხოვნამდე

• შეგროვდა „აუდიტის პაკეტი“: სქემები, პოლიტიკა, მთლიანობის ანგარიშები, შერჩევა.
• შეამოწმეთ ინტერესი და წვდომის ჟურნალები პერიოდისთვის.
• DSAR/Legal Hold სტატუსები დადასტურებულია.
• იქმნება გადმოტვირთვის ჰაშის შეჯამება და გაგზავნის დადასტურება.

18) სიმწიფის მოდელი (M0-M4)

M0 სახელმძღვანელო: მიმოფანტული ლოგოები, არ არსებობს სქემები და რეტენციები.
M1 ცენტრალიზებული საფასური: ძირითადი ძებნა, ნაწილობრივი ტაქსონომია.
M2 კონტროლირებადი: სქემები და პოლიტიკა-კოდი, დაშბორდები, რენტგენოლოგია/WORM.
M3 ინტეგრირებული: OTel ტრეკერი, SOAR, კითხვარი/მერკელი, კასეტა-ბაზირებული წვდომა.
M4 Assured: „ღილაკზე audit ready“, პროგნოზირება, ავტომატური მთლიანობის კონტროლი და იურიდიულად მნიშვნელოვანი ქვითრები.

19) ვიკის დაკავშირებული სტატიები

შესაბამისობის უწყვეტი მონიტორინგი (CCM)

KPI და კომპლექსის მეტრიკა

Legal Hold და გაყინვა

პოლიტიკის და პროცედურების სასიცოცხლო ციკლი

შესაბამისობის გადაწყვეტილებების კომუნიკაცია

კომპლექსის პოლიტიკაში ცვლილებების მენეჯმენტი

Due Diligence და აუთსორსინგის რისკები

შედეგი

ძლიერი გაუმჯობესების ფუნქცია არ არის „შეტყობინებების საწყობი“, არამედ კონტროლირებადი სისტემა: სტრუქტურირებული მოვლენები, მკაცრი სქემები და რეტენციები, უცვლელი და ხელმოწერა, ნაგულისხმევი კონფიდენციალურობა, მყარი წვდომის კონტროლი და მტკიცებულებებში რეპლიკაცია. ასეთი სისტემა გამოძიებას სწრაფად ხდის, აუდიტს პროგნოზირებს, ხოლო რისკებს მართავს.