Үзгүлтүксүз шайкештик мониторинги

1) үзгүлтүксүз шайкештик мониторинг деген эмне

• Кол менен текшерүүлөрдү жана адам факторун азайтуу.
• TTD/MTTR бузуулар кыскартуу.
• каалаган убакта "аудит-ready" абалын камсыз кылуу.
• policy-as-code аркылуу өзгөртүүлөрдү киргизүүнү тездетүү.

2) CCM чөйрөсү (scope)

Access & Identity (IAM/IGA): SoD, ашыкча ролдору, "ээси жок жетүү".
Маалыматтар жана купуялык: Retence/TTL, Masking, Legal Hold, DSAR-SLA.
Инфраструктура/булут/IaC: конфигурациялардын жылышы, шифрлөө, сегменттөө.
Продукт/код/CI-CD: репозиторийлерде сырлар, SCA/SAST/DAST, OSS лицензиялары.
Транзакциялар/AML: санкциялар/RER-скрининг, аномалиялар эрежелери, STR/SAR.
Операциялар: аудит журналдары, резервация жана калыбына келтирүү, алсыздыктар.

3) CCM маалымат архитектурасы

1. Сигналдарды чогултуу: агенттер жана туташтыргычтар (булут, DD, логи, SIEM, IAM, CI/CD, DLP, почта/чат архивдери).

2. Нормалдаштыруу жана байытуу: шина окуялар (Kafka/Bus) + ETL/ЭЛТ менен айкалыштыруу.

3. CaC Code Policies: YAML/Rego репозиторийи/версиялары, тесттери жана ревю менен саясат.

4. Эрежелердин кыймылдаткычы (stream/batch): бузууларды, артыкчылыктарды жана тобокелдик-ылдамдыкты эсептеп чыгат.

5. Оркестр: тикетинг/SOAR + RACI боюнча эскалация, auto-remediation, SLA үзүндү.

6. Evidence/WORM: өзгөрүлбөс артефакттар (логдор, конфигурациялардын сүрөттөрү, отчеттор).

7. Dashboard жана отчеттуулук: heatmap, KPI/SLO, жөнгө салуучу түшүрүү.

4) Саясат-сыяктуу-код: мини-схемалар

yaml id: IAM-SOD-007 title: "Prohibition of toxic combination of roles: finance_approver + vendor_onboarder"
scope: ["iam:"]
detect:
query: iam_sod_violations_last_1h. sql severity: high notify: ["GRC","SecOps"]
remediate:
playbook: revoke_extra_role sla:
detect_minutes: 15 remediate_hours: 24 evidence:
sink: s3://evidence/iam-sod/dt={{ts}}
owners: ["IGA","FinanceOps"]

yaml id: GDPR-RET-001 title: "TTL 24м для PI; LegalHold priority"
rule: "object. age_months <= 24          object. legal_hold == true"
detect:
job: retention_scan_daily sla: { detect_minutes: 60, remediate_days: 7 }

5) Стандарттарга ылайык типтүү контролдоолор

6) Метрика жана SLO

Coverage:% мониторинг системалары/маалыматтар (максаты ≥ 90%).
MTTD/MTTR контролдоо: аныктоо/жоюу үчүн орточо убакыт.
Drift Rate: дрейф конфигурациялары/ай.
False Positive Rate: эрежелер боюнча жалган таасирлердин үлүшү.
Audit Readiness Time: evidence даярдоо убактысы (максаты - саат).
DSAR SLA:% өз убагында жабылган; медиа жооп.
Access Hygiene: эскирген укуктардын үлүшү; SoD бузууларды жабуу.

7) Процесстер (SOP) CCM

1. талаптарды аныктоо → матрица "ченем → контролдоо → метрика".
2. Эрежелерди долбоорлоо → саясат-as-code, тесттер, PR/review, версиялоо.
3. Жайгаштыруу → staging-валидация, андан кийин feature-желеги менен прод.
4. Мониторинг жана Алерт → артыкчылыктуу (sev/impact), ызы-чууну азайтуу, дедупликация.
5. Remediation → auto playbook + билеттер ээлери; SLA-эскалация.
6. Evidence → мезгилдүү сүрөттөр; WORM/immutability; хеш-отчеттор.
7. Кайра баалоо → чейректик тюнинг эрежелери, FPR/TPR талдоо, A/B салыштыруу.
8. Тренинг → контролдоо ээлерин, нускамаларды жана өзгөчөлүктөр каталогдору (waivers).

8) Alerta жашоо цикли

Detect → Triage → Assign → Remediate → Verify → Close → Learn.
Ар бир кадам үчүн: ээси, мөөнөтү, көрүлгөн чаралар, далилдердин артефакттары белгиленет.

9) Интеграция

GRC - талаптар, тобокелдиктер, контролдоо, ревю кампаниялары, артефакттарды сактоо.
SIEM/SOAR - окуялардын байланыштары, автоматтык ойноткучтар.
IAM/IGA - Аттестация, SoD, RBAC/ABAC, жеткиликтүүлүктүн жашоо цикли.
CI/CD/DevSecOps - шайкештик, SAST/DAST/SCA, Secret-scan.
Data Platform - "Compliance", каталог/lineage, жашыруу.
DLP/EDRM - сезгичтик белгилери, тыюу салуу, журналдар.
Ticketing/ITSM - SLA, эскалация, ээлеринин жана командаларынын отчеттору.

10) Dashboard (минималдуу топтому)

Compliance Heatmap (системалары × стандарттары × статусу).
SLA борбору (DSAR/AML/PCI/SOC2 мөөнөттөр, кечиктирүүлөр).
Access & SoD (уулуу ролдору, "унутулган" жетүү).
Retention & Deletion (TTL-бузуулар, Мыйзамдуу кармап бөгөт коюу).
Infra/Cloud Drift (IaC/реалдуу абалы менен дал келбегендиги).
Incidents & Findings (кайталоо тенденциялары, remediation натыйжалуулугу).

11) Эрежелердин мисалдары (SQL/псевдо)

sql
SELECT user_id, dataset, created_at
FROM pi_objects
WHERE age_months(created_at) > 24
AND legal_hold = false;

sql
SELECT u. id, r1. role, r2. role
FROM user_roles r1
JOIN user_roles r2 ON r1. user_id = r2. user_id
JOIN users u ON u. id = r1. user_id
WHERE r1. role = 'finance_approver' AND r2. role = 'vendor_onboarder';

12) Ролдору жана RACI

13) Өзгөчө башкаруу (waivers)

негиздемеси жана мөөнөтү менен расмий суроо-талап.
Тобокелдик-баалоо жана компенсациялык контролдор.
Авто-эскертүү кайра карап чыгуу.
Отчеттуулукта чагылдырылышы (аудитор үчүн ачыктык).

14) CCM купуялык жана коопсуздук

Минимизация данных в витринах и логах (PII-редакция).
Милдеттерди бөлүштүрүү, эң аз артыкчылыктар.
Immutability (WORM/S3 Object Lock) для evidence.
Криптографиялык отчетторду бекитүү (хеш-чынжыр).
Артефакттарга жеткиликтүүлүктү көзөмөлдөө жана журнал жүргүзүү.

15) Чек баракчалары

CCM ишке киргизүү

• Матрица "стандарт → контролдоо → метрика" макулдашылган.
• негизги сигналдардын булактары туташтырылган.
• Саясатчылар код менен сүрөттөлөт, тесттер жана ревю менен капталган.
• Дашборддор жана алерталар киргизилген; SLO/SLA аныкталган.
• орнотулган evidence Archive (immutability).
• Үйрөтүлгөн ээлери; waivers жараяны аныкталган.

Аудит алдында

• Саясаттын жана өзгөртүүлөрдүн жаңыланган версиялары.
• dry-run тандоо evidence өткөрүлдү.
• Жабуу кечигүү remediation жана өзгөчөлүктөр.
• Салыштырылган Coverage/MTTD/MTTR/Drift.

16) Антипаттерндер

"Аудитке текшерүүлөр" туруктуу көзөмөлдүн ордуна.
Ызы-чуу эрежелери артыкчылыктуу жана дедупликациясыз.
Версиясы жана тесттери жок саясатчылар.
ээлери жана SLA жок мониторинг.
Evidence өзгөрүлмө жерлерде/эч кандай хеш бекитүү.

17) жетилген CCM модели (M0-M4)

M0 Кол: спорадикалык текшерүү, Excel отчеттор.
M1 Instrumental: жарым-жартылай телеметрия, бир жолку эрежелер.
M2 Autodetect: туруктуу текшерүүлөр, негизги SLO жана Алерт.
M3 жазылган: SOAR, auto-remediation, "audit-ready" каалаган күнү.
M4 Туруктуу жардам: SDLC/продукт + аудитор өзүн-өзү тейлөө текшерүү.

18) Байланыштуу макалалар wiki

Комплаенс жана отчеттуулукту автоматташтыруу

Мыйзамдуу Hold жана маалыматтарды тоңдуруу

Privacy by Design жана маалыматтарды азайтуу

Маалыматтарды сактоо жана өчүрүү графиктери

PCI DSS/SOC 2: контролдоо жана тастыктоо

Инцидент-менеджмент жана форензия

Жыйынтык

CCM - уюмдун "шайкештик кагышы" болуп саналат: саясатчылар код менен көрсөтүлөт, сигналдар тынымсыз агат, мыйзам бузуулар заматта байкалат, далилдер автоматтык түрдө чогултулат, ал эми аудит отко эмес, операциялык тартипке айланат.