GH GambleHub

Минималдуу зарыл укуктар принциби

1) Максаты жана аныктамасы

Максаты: колдонуучуга/сервисге белгилүү бир тапшырманы аткаруу үчүн катуу зарыл болгон ресурстарга минималдуу жетиштүү мөөнөткө жана минималдуу көлөмдө гана уруксат берүү.
Аныктама: "кеңдик (ресурстар), тереңдик (операциялар), убакыт (TTL), контекст (гео/түзүлүш/өзгөртүү), сезгичтик (PII/финансы) боюнча минималдуу".

2) Ишке ашыруунун базалык принциптери

1. Need-to-Know: ар бир укук белгилүү бир purpose (негиз) менен байланышкан.
2. Time-Bound: жогорулатылган укуктар TTL (JIT) менен берилет; туруктуу укуктар - гана read/masked.
3. Scope-Bound: ижара/аймак/бренд/долбоор (tenant/аймак scoping) боюнча чектелген кирүү.
4. Data-Minimization: PII демейки жашырылган; de-mask - айкын негизде гана.
5. Traceability: ар кандай кирүү → журнал + 'purpose '/' ticket _ id'.
6. Revocability: тез кайра чакыртып алуу (offboarding ≤ 15 мүнөт, JIT - кайра чакыртып алуу).

3) Башка контролдоолор менен байланыш

RBAC: негизинен мүмкүн ким белгилейт (негизги ролу).
ABAC: кандай шарттарда (гео, түзмөк/MDM, убакыт, KYC деңгээл, тобокелдик) тактайт.
SoD: ролдорду коркунучтуу айкалышы тыюу, сезгич иш-аракеттер үчүн 4-eyes талап кылат.
Сегментация: тармактык/логикалык периметрлер (төлөм, KYC, DWH, сырлар).
PAM/JIT/break-glass: убактылуу артыкчылыктарды коопсуз берүү жана аларды жазуу.

4) Ресурстарды жана операцияларды классификациялоо

Берилиштер классыМисалдарМинималдуу деңгээл
Publicсайттын мазмунууруксаты жок
InternalPII жок метриктерSSO, read-only
ConfidentialDWH отчеттор/агрегаттарSSO + MFA, "viewer_..." ролдору
Restricted (PII/каржы)KYC/AML, бүтүмдөр, RGmasked-read, JIT үчүн masked
Highly Restrictedсырлар, башкаруу консолдору, PANPAM, жазылган сессиялар, изоляция

Операциялар: 'READ', 'MASKED _ READ' (PII үчүн демейки), 'WRITE' (scoped), 'APPROVE _' (4-eyes), 'EXPORT' (витриналар аркылуу гана, кол тамга/журнал).

5) Инженердик укуктар "тапшырмадан жеткиликтүүлүккө"

1. User Story → Purpose: "Аналитик PII жок ЕБ конверсия отчетун куруу керек".
2. Ресурстардын тизмеси: 'agg _ conversions _ eu'.
3. Операциялар: 'READ' (PII жок), тыюу салуу 'EXPORT _ RAW'.
4. ABAC контекст: Жумуш убактысы, Corp-VPN/MDM, аймак = EU.
5. TTL: туруктуу masked-окуу; JIT бир жолу демо үчүн (зарыл болсо).
6. Журналдар: 'READ '/' EXPORT' s 'purpose' жана 'fields _ scope'.

6) Masking жана тандап Демаскировка

демейки электрондук почта/тел/IBAN/PAN жашыруу;

Unmasked Access ('pii _ unmask') - JIT + 'purpose' + домен ээсинин ырастамасы/Compliance гана;

Отчеттордо - агрегаттар/к-анонимдүүлүк, "чакан тандоолорго" тыюу салуу (privacy thresholds).

7) Убактылуу артыкчылыктар: JIT жана break-glass

JIT: 15-120 мүнөт, түбүндө билет, auto кайра чакыртып алуу, толук аудит.
Break-glass: шашылыш кирүү (MFA + экинчи ырастоо, сессия жазуу, пост-review Security + DPO).
PAM: жашыруун сейф, сессиялык прокси, артыкчылыктарды ротациялоо.

8) Процесстер (SOP)

8. 1 мүмкүндүк берүү (IDM/ITSM)

1. 'purpose' менен арыз, ресурстар, TTL/туруктуулук.
2. Autoprection SoD/юрисдикция/маалымат класс/контексттер.
3. Домен ээсинин макулдугу; для Restricted+ — Security/Compliance.
4. Минималдуу сатып алуу берүү (көбүнчө masked-read).
5. Укуктар реестрине жазуу: кайра кароо датасы, SLA кайра чакыртып алуу.

8. 2 Кайра тастыктоо (quarterly)

Домендин ээси ар бир ролду/топту тастыктайт; пайдаланылбаган укуктар (> 30/60 күн) - кайра чакыртып алуу.

8. 3 Маалыматтарды экспорттоо

Бекитилген терезелер аркылуу гана; форматтардын ак тизмелери; кол/хэш; түшүрүү журналы; PII - демейки аноним.

9) Сатуучуларды/субпроцессорлорду көзөмөлдөө

Минималдуу API топтомдору, жеке ачкычтар per integration, allow-list IP, убакыт терезелери.
DPA/SLA: ролдору, кирүү журналдары, retenshn, география, окуялар, субпроцессорлор.
Оффбординг: ачкычтарды чакыртып алуу, өчүрүүнү ырастоо, жабуу актысы.

10) Аудит жана мониторинг

Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: 'purpose', анормалдуу көлөмдөр, убакыт терезесинен чыгуу/гео, SoD бузуу жок кирүү үчүн алерталар.
WORM: журналдардын өзгөрүлбөс көчүрмөсү + хэш чынжыр/кол тамгалар.

11) Жетилүү Метрика (KPI/KRI)

Coverage: RBAC/ABAC астында критикалык системалардын% ≥ 95%.
Masked Reads Ratio: ≥ 95% PII кайрылуулар - masked.
JIT Rate: ≥ 80% укуктарды жогорулатуу JIT болуп саналат.
Offboarding TTR: укуктарды кайра чакыртып алуу ≤ 15 мин.
Exports Signed: 100% экспорттор кол коюлган жана басылып чыккан.
SoD Violations: = 0; аракет - auto-блок/билет.
Dormant Access тазалоо: ≥ 98% "илинип" укуктар 24 саат ичинде алынып салынат.

12) Типтүү жагдайлар

A) VIP кардар үчүн бир жолку KYC көрүү

Негизги: VIP-менеджерден masked-read.
Иш-аракет: JIT-жетүү 'pii _ unmask' боюнча 30 мүнөт тикет, талаа/скринлог жазуу, пост-ревю.

B) Инженер prod-DD жетүү керек

PAM + JIT аркылуу гана ≤ 60 мин, жазылган сессия, PII боюнча "SELECT" тыюу, пост-review жана мыйзам бузуулар болгон учурда CAPA.

C) BI-отчету өлкө боюнча кесүү менен

PII жок агрегаттарга жетүү; ABAC чыпкасы: 'region in [EEA]', corp-VPN/MDM, убактысы 08: 00-21: 00.

13) Анти-үлгүлөрү жана аларды качуу үчүн кантип

"Superrolls "/чек жок мурас → домендик ролдорду бөлүп, ABAC кирет.
Туруктуу артыкчылыктар "кандай болгон күндө да" → JIT + auto кайра чакыртып алуу.
Прод-маалыматтарды dev/stage → псевдоним/синтетикага көчүрүп алуу.
Сырттагы PII экспорт → ак тизмелер, кол тамга, журнал, жашыруу.
Жок 'purpose' → катуу блок жана auto-билет.

14) RACI (кеңейтилген)

АктивдүүлүкCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Least Privilege саясатыA/RCCCCCC
RBAC/ABAC/JIT дизайнCCA/RRRRC
Кайра сертификациялооCCARRRR
Экспорт/жашырууCARRRCC
Сатуучулар/келишимдерA/RCCCIII

15) Чек баракчалары

15. 1 Кирүү алдында

  • 'purpose' жана TTL көрсөтүлгөн
  • SoD/юрисдикцияларды текшерүү өттү
  • демейки жашырып, минималдуу Skoup
  • ABAC шарттары: тармак/түзмөк/убакыт/аймак
  • Журнал жана кайра карап чыгуу датасы орнотулган

15. 2 Чейрек сайын

  • Ролдорду/топторду кайра карап чыгуу, "илинип турган" укуктарды кайра чакыртып алуу
  • Анормалдуу экспорттук текшерүү жана break-glass
  • Тастыкталган купуялык/коопсуздук окутуу

16) Ишке ашыруунун жол картасы

Жумалар 1-2: маалыматтарды/системаларды инвентаризациялоо, классификация, ролдордун негизги матрицасы, демейки маскировканы киргизүү.
Жумалар 3-4: ABAC (шаршемби/гео/MDM/убакыт), JIT жана PAM, ак экспорттук тизмеси, журналдар 'purpose'.
2-ай: offboarding автоматташтыруу, SOAR-алерт (жок 'purpose '/аномалиялар), чейректик кайра тастыктоо.
Ай 3 +: кеңейтүү атрибуттары (CUS деңгээл/тобокелдик түзмөк), privacy thresholds, үзгүлтүксүз tabletop-машыгуулар.

TL; DR

Least Privilege = минималдуу купюра + PII + ABAC контекст + JIT/PAM + катуу аудит жана тез жооп. Башкарууга мүмкүндүк берет, агып чыгуу/алдамчылык коркунучун азайтат жана аудиттин өтүшүн тездетет.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.