Кирүү саясаты жана сегменттөө

1) Максаты жана принциптери

Максаты: аудит үчүн далилдүүлүк менен "ким, эмнеге жана эмне үчүн жеткиликтүүлүгү бар" катуу көзөмөл аркылуу ачыкка чыгуу/алдамчылык коркунучун жана жөнгө салуучу кесепеттерди азайтуу.
Принциптер: Least Privilege (минималдуу укуктар), Need-to-Know, Zero Trust, Segregation of Duties (SoD), Just-in-Time (JIT), бир чыкылдатуу менен жеткиликтүүлүктү көзөмөлдөө жана кайтаруу.

2) Маалыматтарды классификациялоо жана коргоо деңгээли

3) Кирүү модели: RBAC + ABAC

RBAC (ролдору): негизги матрица "ролу → чечим".
ABAC (атрибуттар): контексттик эрежелер (оюнчу/оператор юрисдикциясы, чөйрө сегменти, терүү сезгичтиги, өзгөртүү/убакыт, түзмөк, KYC текшерүү деңгээли, кызматтык тапшырма/purpose).

• Marketing аналитик таблицаларды окуй алат 'events _' аналитикага макулдугу бар өлкөлөр үчүн гана иш күндөрү 08: 00-21: 00, корпоративдик тармактан/MDM түзмөгүнөн гана, PII талаалары жок (камуфляж камтылган).

4) SoD - милдеттерди бөлүштүрүү (антифрод жана комплаенс)

5) JIT, break-glass и PAM

JIT (Just-in-Time): жогорулатылган укуктар белгилүү бир тапшырма боюнча чектелген аралыкка (15-120 мин) берилет жана автоматтык түрдө жооп берет.
Break-glass: өзүнчө жол-жобосу (MFA + экинчи ырастоо + purpose милдеттүү көрсөтмө), сессиянын толук жазуу жана пост-фактум ревю аркылуу өзгөчө мүмкүнчүлүк.
PAM: башкаруу эсептери үчүн - сырдуу сактоо, жүрүм-турум талдоо, ачкычтарды/сырларды айлантуу, жазуу менен сессия прокси.

6) Сегментация: орто, тармактык жана логикалык

6. 1 Шаршемби: 'prod' ≠ 'stage' ≠ 'dev'. Prod-маалыматтар stage/dev көчүрүлбөйт; синтетикалык же псевдоним топтомдор колдонулат.

• Edge/WAF/CDN → App зонасы → Data зонасы (DWH/DB) → Secrets/KMS.
• Төлөм периметри (PSP/карта) жалпы прод менен обочолонгон; КБК/санкциялар - өзүнчө сегмент.
• 6. 3 Логикалык сегментация: ысымдар мейкиндиги (K8s), tenant IDs, DD схемалары/маалыматтар каталогу, жеке шифрлөө ачкычтары per tenant/аймак.
• 6. 4 Гео-сегментация: сактоо/жайгаштыруу боюнча иштетүү (EC/UK/...); жол жана региондогу ачкычтарды багыттоо.

7) Сатуучулардын жана өнөктөштөрдүн жетүү

Механика: өзүнчө B2B тенанттар/эсептер, минималдуу API, mTLS, allow-list IP, убакыт-терезелер.
Келишимдер: DPA/SLA (журналдар, сактоо мөөнөтү, география, окуялар, субпроцессорлор).
Оффбординг: ачкычтарды чакыртып алуу, өчүрүүнү ырастоо, жабуу актысы.
Мониторинг: анормалдуу көлөмгө алерция, массалык экспортко тыюу салуу.

8) Процесстер (SOP)

8. 1 Суроо-талап/жеткиликтүүлүктү өзгөртүү

1. IDM/ITSM арыз purpose жана мөөнөтү менен.
2. Autoprection SoD/юрисдикция/маалымат класс.
3. Domain + Security/Compliance ээси тарабынан бекитүү (эгерде Restricted +).
4. JIT/туруктуу жеткиликтүүлүк берүү (минималдуу топтому).
5. Журнал: ким/качан/эмне берилген; кайра кароо датасы.

8. 2 Мезгил-мезгили менен кайра карап чыгуу (recertification)

Квартал сайын: ээлери топтордун укуктарын ырасташат; пайдаланылбаган укуктарды кайра чакыртып алуу (> 30/60 күн).

8. 3 Маалыматтарды экспорттоо

Гана жактырылган payplayns/терезелер аркылуу, ак форматтар тизмеси боюнча (CSV/Parquet/JSON), демейки, кол/хэш, чыгаруу журналы.

9) Аппараттардын саясаты жана контексти

MDM/EMM: башкаруу түзмөктөрдөн гана Restricted/Highly Restricted жетүү.
Контексттик сигналдар: гео, тобокелдик-тез түзмөк, күнү-түнү, MFA абалы, IP аброю - ABAC атрибуттары катары.
Browser кеңейтүү/экран басып: контролдоо жана журнал, сезгич консолдор үчүн тыюу салуу.

10) Саясатчылардын мисалдары (үзүндүлөр)

10. 1 YAML (псевдо) - ABAC маркетинг аналитиги үчүн

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL-маска (идея)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Мониторинг, журналдар жана тобокелдиктер

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.
KRIs: 'purpose' = 0 жок жетүү; терезеден тышкары Highly Restricted аракет; ишке ашпай калган SoD текшерүүлөрдүн үлүшү; анормалдуу түшүүлөр.
KPI: JIT менен суроо% ≥ 80%; жеткиликтүүлүктү берүүнүн орточо убактысы ≤ 4 саат; 100% кайра тастыктоо менен жабуу.
SOAR плейбуктар: коркунучта auto-review, тергөөгө билеттер.

12) Талаптарга ылайык келүү (кыскача карта)

GDPR/UK GDPR: минималдаштыруу, Need-to-Know, DSAR шайкештиги, PII аудит.
AML/KYC: KUS/санкцияларга жетүү - үйрөтүлгөн ролдор үчүн гана, чечимдер журналы.
PCI DSS (эгер колдонулса): төлөм зонасын сегрегациялоо, PAN/CSC сактоого тыюу салуу, жеке ачкычтар/хостинг.
ISO/ISMS: формалдуу кирүү саясаты, жылдык аудиттер жана тесттер.

13) PACI

14) Жетилүү метрикасы

Критикалык маалымат топтомунун ABAC эрежелери ≥ 95%.
JIT сессиялар/бардык укуктарды жогорулатуу ≥ 90%.
offboarding кирүү кайра чакыртып алуу убактысы ≤ 15 мин.
0 окуялар "ролу ≠ милдети" (SoD).
100% кирүү журналдары жеткиликтүү жана текшерилген (кол/хэш).

15) Чек баракчалары

15. 1 Кирүү алдында

• purpose аныкталган, мөөнөтү жана маалымат ээси
• SoD/юрисдикцияларды текшерүү өттү
• Минималдуу shopping/камуфляж кирет
• MFA/MDM/тармак шарттары сакталат
• Журнал жана кайра карап чыгуу датасы орнотулган

15. 2 Чейректик кароо

• Топторду жана ролдорду уюштуруу түзүмү менен салыштыруу
• Auto чакыртып алуу "илинип" укуктар
• Анормалдуу экспорттук текшерүү жана break-glass
• Окутуу жана тестирлөө

16) Типтүү жагдайлар жана чаралар

A) "VIP-менеджер" жаңы ролу

VIP профилдерине кирүү (жашырылган), экспортко тыюу салуу, бир жолку KYC көрүү үчүн JIT.

B) Вендор-аудит BI

PII жок витриналар, убактылуу VPN + allow-list, жергиликтүү сактоого тыюу салуу, түшүрүү журналы.

C) DevOps Prod-DDге шашылыш кирүү

break-glass ≤ 30 мин, сессиянын жазуусу, DPO/Compliance менен пост-ревю, мыйзам бузуулар болгон учурда CAPA.

17) Ишке ашыруунун жол картасы

Жумалар 1-2: маалыматтарды/системаларды инвентаризациялоо, маалымат класстары, базалык RBAC матрицасы, SoD.
Жумалар 3-4: ABAC киргизүү (биринчи атрибуттар: чөйрө, гео, маалымат классы), IDM агымдары, JIT/break-glass, PAM.
Ай 2: төлөм сегментациясы жана KYC-периметри, жеке ачкычтар/KMS, экспорт журналдары, SOAR-алерттер.
Ай 3 +: чейректик ре-сертификация, атрибуттарды кеңейтүү (аппарат/тобокелдик), маскировкалоону автоматташтыруу, үзгүлтүксүз машыгуулар.

TL; DR

Ишенимдүү кирүү модели = маалыматтарды классификациялоо → RBAC + ABAC → SoD + JIT/PAM → катуу сегментация → журналдар жана алерталар. Бул агып чыгуу жана кыянаттык ыктымалдыгын азайтат, аудитти тездетет жана платформаны GDPR/AML/PCI жана ички стандарттардын чегинде кармап турат.