GH GambleHub

იდენტიფიკაციის აუდიტი

1) მიზანი და შედეგი

მიზანი: უზრუნველყოს Zero Trust- ის პრინციპების და ყველაზე მცირე შეღავათების დადასტურებული შესაბამისობა იმ პირის რეგულარული შემოწმებით, ვისაც აქვს რაიმე წვდომა სად და რატომ.
შედეგი: იდენტობებისა და უფლებების სრული და შესაბამისი რეესტრი დადასტურებული მფლობელებით, რომლებიც აღმოფხვრიან „ქვემოთ“ წვდომას, რომელიც შედგენილია მტკიცებულებების ბაზით შიდა კონტროლისა და რეგულატორებისთვის.

2) დაფარვის არეალი

შიდა მომხმარებლები: სახელმწიფო, სტაჟიორები, ლიდერები, დროებითი როლები.
კონტრაქტორები/პარტნიორები: თამაშების სტუდიები, PSP/KYC/AML პროვაიდერები, აფილატები.
მომსახურების იდენტურობა: ბოტები, CI/CD, ინტეგრაცია, გასაღებები და API ნიშნები.
პრივილეგირებული როლები: ინფრასტრუქტურის ადმირალები/BD, Payments, Risk, Trading.
მოთამაშეები (KYC კონტექსტში): KYC პროფილის ჩაწერის პაკეტის სისწორე - RG/AML სტატუსები (პროცესების შემოწმება, რომლებიც არ შეიცავს დოკუმენტებს).

3) ტერმინები და პრინციპები

პირადობა (თვითმყოფადობა): უნიკალური საგანი (ადამიანი/სერვისი) ატრიბუტით.
Entitlement (პრივილეგია): კონკრეტული უფლება/როლი რესურსზე.
JML: Joiner - Mover - Leaver - იდენტურობის სასიცოცხლო ციკლი.
SoD: მაღალი რისკის ოპერაციებისთვის პასუხისმგებლობის გამიჯვნა.
Least Privilege & Just-in-Time (JIT): შეზღუდული დროით გაცემული უფლებების მინიმალური ნაკრები.
Accountability: თითოეულ იდენტურობას აქვს მფლობელი, თითოეულ უფლებას აქვს ბიზნესის დასაბუთება და ვადა.

4) ჭეშმარიტების წყაროები და მონაცემთა მოდელი

HRIS/პერსონალის სისტემა: დასაქმებულის სტატუსის პირველადი წყარო (hire/move/exit).
IDP/SSO: ერთიანი ავტორიზაციის წერტილი (MFA/FIDO2), ფედერაცია.
IAM/IGA: როლების, პოლიტიკოსისა და რეცესიის პროცესების კატალოგი.
CMDB/სერვისების კატალოგი: სისტემების ფლობა და წვდომის კონტურები.
პროვაიდერების პლატფორმები: PSP/KYC/CDN/WAF/თამაშების პროვაიდერები - გარე წვდომის პორტალები.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.

5) აუდიტის შემოწმება

1. SSO და MFA ყველგან (ადგილობრივი ანგარიშების და ზუსტი ანგარიშების გარეშე).
2. RBAC/ABAC/PBAC: უფლებები აღწერილია პოლიტიკოსების მიერ (პოლიტიკის კოდექსი), როლები ტიპიური და შეთანხმებულია.
3. SoD: შეუსაბამო როლები და გამონაკლისები ფორმალიზებულია.
4. JIT/PAM: დროებითი ზრდა თიკეტით, სესიის ჩაწერა და მანქანის მიმოხილვა.
5. საიდუმლოებები/გასაღებები: ინახება საიდუმლოებების მენეჯერში, როტაციით და სიცოცხლის ხანგრძლივობით.
6. ჟურნალები და მტკიცებულებები: tamper-evident, დამაკავშირებელი ტრეკერი/რა/სად/როდის/რატომ.
7. Data Access: შენიღბვა PII, ექსპორტი - მხოლოდ დაშიფრული და TTL.

6) აუდიტის პროცესი

1. მომზადება: უფლებების გაყინვა (entitlements snapshot) სისტემებზე; გადმოტვირთვის IDP/IAM/პროვაიდერები.
2. ნორმალიზაცია: დირექტორიაში როლების მოპოვება, დედუპლიკაცია, რესურსების მფლობელთა ჯგუფი.
3. რისკის კატეგორიზაცია: P1/P2 (პრივილეგირებული და მგრძნობიარე) პრიორიტეტული შემოწმება.
4. უფლებების განმეორება: სისტემის მფლობელები ადასტურებენ/უარყოფენ უფლებებს (შეკრების მიმოხილვის კამპანიები).
5. SoD შემოწმება: შეუთავსებლობისა და დროებითი გამონაკლისების იდენტიფიცირება (გასვლის თარიღით).
6. JML კრეკი: hire/move/exit- ის შედარება რეალურ უფლებებთან (გარე პორტალების ჩათვლით).
7. მომსახურების ანგარიშები: მფლობელის არსებობა, ხანმოკლე ნიშნები, არ არსებობს „god-scope“.
8. მტკიცებულების საფუძველი: არტეფაქტების პაკეტის შექმნა (მოხსენებები, გადმოტვირთვები, აქტები).
9. Remediation გეგმა: მიმოხილვის/კორექტირების თიკეტები, ვადები და პასუხისმგებლობა.
10. დასკვნითი ანგარიში: რისკების სტატუსი, KPI ციკლი, პოლიტიკოსის გაკვეთილები და გაუმჯობესება.

7) JML კონტურები (რომელსაც უფრო ღრმად ვამოწმებთ)

Joiner: ძირითადი როლების ავტომატური დანიშნულება, სახელმძღვანელო „დანამატების“ აკრძალვა კატალოგის გარეთ.
Mover: ბრძანების/ადგილმდებარეობის შეცვლა, როლების ავტომატური ჩანაცვლება, ძველი შეღავათების გაყვანა.
Leaver: ყველა უფლებების გაწვევა X წუთის/საათის განმავლობაში, ფოსტის დახურვა/VPN/პროვაიდერების პორტალები, გასაღებების გამორთვა და ნიშნები.

8) გარე დამოკიდებულება და პორტალები

PSP/KYC/AML/CDN/WAF/თამაშის პროვაიდერები: თითოეულ ანგარიშს აქვს მფლობელი, მიზანი, ვადა, MFA, ზოგადი ანგარიშების აკრძალვა.
ხელშეკრულების SoD/SLA: ორმაგი კონტროლის არსებობა P1 ოპერაციებისთვის (გადახდის როტინგის შეცვლა, ბონუსის ლიმიტები და ა.შ.).
რეგულარული შერჩევა: გარე პორტალების რეესტრი, შესაბამისი მომხმარებლების სია, რეცესიის შედეგები.

9) iGaming დომენის მახასიათებლები

Payments & Risk: SoD ცალკეული ფილიალები; Apruvation limiti/routing ცვლილებები; სახელმძღვანელო კორექტირების აუდიტი.
ვაჭრობა/კოეფიციენტები: ქვიშის ყუთები მოდელირებისთვის, პუბლიკაციის ინდივიდუალური როლები, სწრაფი დაბრუნება; ცვლილების ჟურნალი.
Responsible Gaming/KYC/PII: მკაცრი ექსპორტის კონტროლი, შენიღბვა BI, SLA რეგულატორის მოთხოვნების დამუშავება.
აფილატები და ნაკადები: შეზღუდული პორტალები, რომლებსაც აქვთ საანგარიშო შესაძლებლობები PII- ზე წვდომის გარეშე.

10) პოლიტიკა, როგორც კოდი (PaC)

პოლიტიკოსები საცავებში (Rego/YAML), PR შურისძიება, ტესტები.
დინამიური კონტექსტი allow/deny- ის გადაწყვეტილებებში: გარემო (the), დრო, ადგილმდებარეობა, ოპერაციის კრიტიკა, KRI სიგნალები (მაგალითად, მგრძნობიარე მოქმედებების ზრდა).
სავალდებულო აკავშირებს თიკეტსა და მიზნებს JIT ამაღლებებში.

11) ჟურნალები და მტკიცებულებები

ღონისძიების ჯაჭვი: Admin-Consol/IDP - API - BD - გარე პროვაიდერები.
Tamper-evident: WORM/immutable საცავი, ჩანაწერების ხელმოწერა, მკაცრი TTL.
ძებნა და პასუხი: SLA პასუხი შიდა/გარე მოთხოვნებზე (აუდიტი, რეგულატორი, ბანკი/პარტნიორი).

12) მეტრიკი და KPI/KRI

KPI:
  • დადასტურებული უფლებების წილი დროულად (განმეორება), ვადაგადაცილებული კამპანიების%.
  • თანამდებობიდან გათავისუფლების დრო უფლებების სრულ გაწვევამდე (MTTR-leaver).
  • JIT გაზრდის წილი მუდმივი შეღავათებით.
  • აღმოჩენილი SoD კონფლიქტების რაოდენობა ციკლისთვის.
  • დაფარული სისტემების სისრულე და გარე პორტალები.
KRI:
  • მგრძნობიარე მოქმედებების სპაიკი (PII ექსპორტი, PSP ცვლილებები).
  • გამოუყენებელი უფლებები> N დღე.
  • Break glass პოსტ აუდიტის გარეშე.
  • ანგარიშები მფლობელის/მიზნის/ვადის გარეშე.

13) განხორციელების გზის რუკა (8-12 კვირა)

ნვე. 1-2: იდენტურობისა და სისტემების ინვენტარიზაცია (გარე პორტალების ჩათვლით), როლების კატალოგი და SoD მატრიცა.
ნვე. 3-4: SSO/MFA კავშირი ყველგან, ერთი entitlements კოლექცია, პირველი snapshot მოხსენებები.
ნვე. 5-6: IGA გადამუშავების კამპანიების დაწყება (P1/P2 პრიორიტეტი), ავტომატური მიმოხილვა Leaver- ზე.
ნვე. 7-8: JIT/PAM Prod Countures, სესიების ჩაწერა, პროვაიდერების მიერ shared ანგარიშების აკრძალვა.
ნვე. 9-10: PaC: ძირითადი პოლიტიკოსის ფორმალიზაცია (PII ექსპორტი, PSP როუტინგი, გამოშვებები), პოლიტიკოსის უნიტარული ტესტები.
ნვე. 11-12: KPI/KRI დაშბორდები, კვარტალური ციკლების რეგლამენტი, შესაბამისობის/რეგულატორების მოხსენებები.

14) არტეფაქტების შაბლონები

Role Catalog: როლი, აღწერა, მინიმალური პრივილეგიები, მფლობელი, გამოყენება (ტენანტი/რეგიონი/გარემო).
SoD Matrix: შეუთავსებელი როლები/ოპერაციები, გამონაკლისები, გამონაკლისის ვადა და მფლობელი.
Access Review Pack: უფლებების დადასტურების სია, კომენტარები, შედეგი (approve/revoke/mitigate).
Service Account Register: მიზანი, მფლობელი, სიცოცხლის ხანგრძლივობა, ნაგავი, საიდუმლოების შენახვის ადგილი, როტაციის გრაფიკი.
External Portals Inventory: სისტემა, კონტაქტები, მომხმარებელთა სია, MFA, ბოლო რეცესიის თარიღი.
Evidence Checklist: რა გადმოტვირთვები/ლოგოები და რა ფორმატით ინახება აუდიტისთვის.

15) ანტიპატერები

ზოგადი ანგარიშები და „admin სამუდამოდ“.
ხელით გაცემული უფლებები გვერდის ავლით IdP/IGA.
SoD- ის არარსებობა ან „დროებითი გამონაკლისის“ მიღება გასვლის თარიღის გარეშე.
მომსახურების ნიშნები ბრუნვის/მფლობელის გარეშე.
PII- ის ექსპორტი „წერილით“ workflow და დაშიფვრის გარეშე.
არ არსებობს გარე პორტალების აუდიტი (PSP/KYC/თამაშების პროვაიდერები).

16) ხშირი აუდიტი და სწრაფი შესწორება

გათავისუფლებული/კონტრაქტორებისთვის ხელმისაწვდომი წვდომა: ჩართეთ მანქანის მიმოხილვა HR (Leaver) მოვლენებზე.
ზედმეტი უფლებების მქონე როლები: უფრო მცირე ზომის დეკომპოზიცია და ABAC ატრიბუტების დაკავშირება.
პროვაიდერების ანგარიშები: პირადი + MFA- ს მიგრაცია, იშვიათი დავალებებისთვის დროებითი როლების გაცემა.
გრძელი საიდუმლოებები: გადასვლა მოკლევადიან ნიშნებზე/სერთიფიკატებზე და დაგეგმილი როტაციაზე.

17) ინციდენტის მენეჯმენტი

წვდომის კომპონენტთან ნებისმიერი ინციდენტი არის რისკებისა და პოლიტიკოსის რეესტრის სავალდებულო განახლება, მონაწილე როლების წერტილოვანი რესტრუქტურიზაცია, პოსტ-შურისძიება მოქმედების items- ით (და ვადებით).

შედეგი

იდენტიფიკაციის აუდიტი არის განმეორებითი, ავტომატიზირებული ციკლი: იდენტურობისა და უფლებების სრული რეესტრი - რისკზე ორიენტირებული რეცესიფიკაცია - მკაცრი JML და JIT/PAM პოლიტიკის, როგორც კოდი და ციკლის შედეგების გაუმჯობესების დადასტურებული აუდიტი. ასეთი წრე ამცირებს ბოროტად გამოყენების და შეცდომების ალბათობას, აჩქარებს გამოძიებას, აძლიერებს მოთხოვნების შესაბამისობას და იცავს iGaming პლატფორმის მნიშვნელოვან ბიზნეს ოპერაციებს.

Contact

დაგვიკავშირდით

დაგვიკავშირდით ნებისმიერი კითხვის ან მხარდაჭერისთვის.ჩვენ ყოველთვის მზად ვართ დაგეხმაროთ!

ინტეგრაციის დაწყება

Email — სავალდებულოა. Telegram ან WhatsApp — სურვილისამებრ.

თქვენი სახელი არასავალდებულო
Email არასავალდებულო
თემა არასავალდებულო
შეტყობინება არასავალდებულო
Telegram არასავალდებულო
@
თუ მიუთითებთ Telegram-ს — ვუპასუხებთ იქაც, დამატებით Email-ზე.
WhatsApp არასავალდებულო
ფორმატი: ქვეყნის კოდი და ნომერი (მაგალითად, +995XXXXXXXXX).

ღილაკზე დაჭერით თქვენ ეთანხმებით თქვენი მონაცემების დამუშავებას.