Саясатты өзгөртүү журналы

1) Максаты жана баалуулугу

• Өзгөрүүлөрдүн ачык тарыхы: ким, эмне, качан жана эмне үчүн.
• Аудиторлордун/жөнгө салуучулардын талаптарына шайкештик (ISO 27001, SOC 2, PCI DSS, GDPR жана жергиликтүү ченемдер).
• Тобокелдиктерди башкаруу: тобокелдиктерди баалоо, инциденттер жана CAPA пландары менен өзгөрүүлөрдү бириктирүү.
• Кызматкерлер, провайдерлер жана өнөктөштөр үчүн чындыктын бирдиктүү булагы.

Натыйжасы: операциялык жана комплаенс-тобокелдик төмөндөйт, аудиттер жана иликтөөлөр тездетилет, онбординг убактысы кыскарат.

2) чөйрөсү (scope)

• Коопсуздук жана жеткиликтүүлүк: МБ саясаты, инциденттерди башкаруу, алсыздыктар, ачкычтар/шифрлөө, жашыруун башкаруу, сыр саясаты, IAM.
• Маалыматтар жана купуялык: GDPR/DSAR/RTBF, сактоо жана өчүрүү, маалыматтарды классификациялоо, DLP, Логи жана аудит.
• Финансы/AML/KYC: AML/KYB/KYC, санкциялык скрининг, каражат булагын ырастоо.
• Операциялар: BCP/DRP, өзгөртүү башкаруу, релиз саясаты, RACI, SRE/SLO.
• Укуктук/жөнгө салуучу: жергиликтүү рыноктордун талаптары, жарнамалык чектөөлөр, жоопкерчиликтүү оюн.

3) Ролдору жана жоопкерчилиги (RACI)

R (Responsible): Саясаттын ээси (Policy Owner) жана редактор (Policy Editor).
A (Accountable): Документ ээси/CISO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed): Бардык кызматкерлер, тышкы подрядчылар (зарыл).

Принциптер: жарыялоо үчүн dual-control; милдеттерди сегрегациялоо; PII/регулятивдик темалар үчүн милдеттүү Юридикалык/DPO консультациялар.

4) Өзгөртүү жашоо цикли

1. Демилге: триггер (жөнгө салуучу талап, аудит-файндинг, окуя, пентест, архитектураны өзгөртүү).
2. Долбоор: документтерди башкаруу системасында өзгөртүү (Confluence/Git/Policy CMS).
3. Таасирди баалоо: процесстерге, тобокелдик реестрине, окутууга, келишимдерге, интеграцияга.
4. Макулдашуу: Мыйзамдуу/DPO/Compliance/Tech/Operations, ээси тарабынан акыркы бекитүү.
5. Жарыялоо: нускасын ыйгаруу, күчүнө кирген датасы, жөнөтүү.
6. Conbording: окутуу/эсептөө, SOP/Runbook жаңыртуу.
7. Мониторинг: сакталышын көзөмөлдөө, метрика, retrospective.

5) Журнал маалыматтарынын модели (милдеттүү талаалар)

'policy _ id' - саясаттын туруктуу идентификатору.
'policy _ title' - документтин аталышы.
'change _ id' - өзгөртүүнүн уникалдуу идентификатору.
'version' - семантикалык версия (MAJOR. MINOR. PATCH) же датасы.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Версия жана өзгөртүү түрлөрүнө карата талаптар

MAJOR: милдеттүү талаптарды/көзөмөлдү өзгөртөт, аудитке/тобокелдиктерге таасир этет; окутууну жана өткөөл мезгилди талап кылат.
MINOR: тактоолор, мисалдар, чындыгында көзөмөлдү өзгөртпөйт.
PATCH: орфография/шилтемелерди оңдоо; fast-track.
URGENT: окуя/алсыздыктан улам шашылыш оңдоо; тездетилген тартипте жарыялоо.
REGULATORY: жаңы жөнгө салуучу акт/катка байланыштуу жаңыртуу.

Версиялоо: белгилер/релиздерди бекитүү; хэш менен immutable PDF/HTML артефакттары.

7) Workflow бекитүү

1. Draft → Review: auto-текшерүү шаблон, шилтемелер жана метадеректер.
2. Multi-review: Legal/DPO/Compliance/Tech/Operations (параллелдүү/ырааттуу).
3. Approval: домен ээси + Accountable.
4. Publish: релиз-жазууларды генерациялоо, журналга жазуу, жөнөтүү, жаңыртуу "effective_from".
5. Acknowledgement: Кызматкерлерге квота чогултуу (LMS/HRIS).
6. Post-publish controls: SOP/келишимдерди/скрипттерди жаңыртуу милдеттери.

Эки ачкычтын эрежеси: бекитилген ролдордун тизмесинен 2 + макулдашуулар болгондо гана жарыялоого болот.

8) Юридикалык бекитүү жана тоңдуруу (Юридикалык Hold)

Качан: тергөө, соттук суроо-талап, жөнгө салуучу текшерүү.
Эмне кылабыз: желек 'hold _ flags = ["мыйзамдуу"]', алып салуу/чыгаруу, WORM Archive, Hold иш-аракет журналы.
Hold алып салуу: гана мыйзамдуу/DPO; протоколдолот.

9) Купуялык жана жергиликтүү жөнгө салуу

журналында PII минималдаштыруу (мүмкүн болсо, электрондук почта ордуна employee ID сактоо).
Сактоо мөөнөтү = "сактоо графиктери" (policy records адатта 5-7 жыл).
DSAR/RTBF: журнал мыйзамдуу сактоо милдети бар болсо, алынып салынат; укуктук негизди бекитебиз.

10) Интеграция

Confluence/Docs/Git: өзгөртүүлөр жана экспонаттар булагы (diff, PDF).
IAM/SSO: кызматкерлердин ролдору жана атрибуттары; журналга жетүү аудити.
LMS/HRIS: окутуу, тесттер, кабыл алуу.
GRC/IRM: тобокелдиктер, контролдоо, SARA/пландар менен байланыш.
SIEM/Логи: журнал боюнча иш аудит (ким карап/экспорттогон).
Ticketing (Jira/YouTrack): демилгелүү тапшырмалар жана чыгаруу чектери.

11) Метрика жана SLO

Coverage: журналында акыркы жазуу менен учурдагы саясат% (максаты ≥ 99%).
Time-to-Publish: медиа убакыт 'submitted _ at' чейин 'published _ at' (максаты ≤ 14 күн; urgent ≤ 48 саат).
Ack-rate: таанышууну тастыктаган кызматкерлердин үлүшү (максаты 14 күндө 98% ≥).
Audit-readiness: экспонаттардын толук топтому менен саясатчылардын үлүшү (diff, PDF, кол тамгалар) (максаты 100%).
Exceptions closed:% жабык өзгөчөлүктөр/мөөнөтү боюнча четтөөлөр.
Access audit: 0 журнал уруксатсыз кирүү инциденттери.

12) Dashboard (минималдуу widget топтому)

Акыркы басылмалардын жана күчүнө киргендердин тасмасы.
Домендер боюнча статус картасы (Security, Data, AML, Ops).
Бекитүү мөөнөтү өтүп кеткен жылуулук картасы.
Time-to-Publish/Time-in-Review гистограммасы.
Бөлүмдөр жана ролдор боюнча Ack-rate.
Ачык REGULATORY/URGENT өзгөрүүлөрдүн тизмеси.

13) Жол-жоболору жана үлгүлөрү

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Бардык милдеттүү талаалар жана артефакттарга шилтемелер толтурулган
• таасирине баа берүү жана тобокелдиктерди жаңыртуу
• Алынган макулдуктар (эки-контролдук)
• Түзүлгөн immutable пакети (PDF + hash)
• Ылайыкташтырылган почта жана ACK кампаниясы
• Жаңыртылган SOP/Runbooks/келишимдер (талап кылынса)

14) Access Control жана коопсуздук

RBAC: окуу/түзүү/бекитүү/архивдөө ролдору.
Just-in-Time: жарыялоо/экспорттоо үчүн убактылуу ыйгарым укуктар.
Шифрлөө: TLS in-transit, KMS at-rest; жашыруун экспорттоого тыюу салуу.
Аудит: бардык операциялардын логдери, адаттан тыш иш-аракеттерге (массалык экспорт, тез-тез оңдоолор) алерталар.

15) Кадамдар боюнча киргизүү

1. Саясатчылардын жана алардын ээлеринин каталогу.

2. Бирдиктүү жазуу шаблон + милдеттүү талаалар.

3. Confluence/Notion реестри же жөнөкөй саясат-CMS; экспорт immutable PDF.

4. Почта/LMS аркылуу негизги workflow макулдуктар жана ack кампаниясы.

5. Кирүү ролдору жана иш-аракеттерди каттоо.

• diff жана семантикалык чыгаруу үчүн Git менен бириктирүү.
• GRC-тобокелдиктер/контролдоо менен байланыштар, аудит үчүн отчеттор.
• Dashboard KPI/SLO, автоматтык эскертүүлөр.

• тышкы системалар үчүн API/Webhook, Руле-as-code үлгү ылайык текшерүү.
• Legal Hold + WORM Archives, крипто-кол чыгаруу пакеттери.
• Мультиюрисдикция (рыноктор/тилдер/версиялар боюнча тегдер).

16) Көп каталар жана аларды алдын алуу үчүн кантип

Журналдан тышкаркы өзгөрүүлөр: жазуусуз жарыялоого тыюу салуу, автоматтык текшерүү.
Эч кандай rationale/шилтемелер: талааны милдеттүү кылуу + булак шаблондору (жөнгө салуучу, аудит, окуя).
Эч кандай ack-control: LMS/HRIS жана мониторинг KPI киргизүү.
Долбоор жана адабияттарды аралаштыруу: өзүнчө мейкиндик/бутактарды колдонуу.
Access "бардык": катуу RBAC, аудит окуу экспорттук.

17) Глоссарий (кыскача)

Policy - милдеттүү талаптар менен башкаруу документ.
Standard/Procedure/SOP - деталдаштыруу жана аткаруу тартиби.
CAPA - түзөтүү жана эскертүү аракеттери.
Acknowledgement (ack) - кызматкердин таанышуусун тастыктоо.
Legal Hold - өзгөртүүлөрдү/өчүрүүлөрдү мыйзамдуу түрдө тоңдуруу.

18) Жыйынтык

Саясатты өзгөртүү журналы - бул "оңдоолордун тарыхы" гана эмес, так ролдору, маалыматтардын модели, жеткиликтүүлүктү көзөмөлдөө, укуктук бекитүү жана метриктер менен башкарылуучу процесс. Анын жетилген ишке ашырылышы аудиттерди тездетет, дал келбестик коркунучун азайтат жана бүткүл уюмда операциялык тартипти жогорулатат.