GH GambleHub

Милдеттерди бөлүштүрүү жана жеткиликтүүлүк деңгээли

1) Максаттары жана принциптери

Максаттары:
  • (акча/PII/комплаенс),
  • алдамчылык/ката коркунучун азайтуу,
  • жөнгө салуучу жана ички аудиттер үчүн текшерүүнү камсыз кылуу.

Принциптер: Zero Trust· Least Privilege· Need-to-Know· SoD (4-eyes)· Traceability· Revocability (тез кайра чакыртып алуу).

2) Маалыматтарды классификациялоо жана жеткиликтүүлүк деңгээли

КлассМисалдарНегизги жеткиликтүүлүк талаптары
Publicсайттын мазмунууруксаты жок
InternalPIIсиз операциялык көрсөткүчтөрSSO, ролу read-only
ConfidentialDWH отчеттор (агрегаттар)SSO + MFA, бекитилген топтор
Restricted (PII/каржы)KYC/AML, бүтүмдөр, RG сигналдарыABAC + JIT, талаа журналы, WORM-лог
Highly Restrictedсырлар, башкаруу консолдору, төлөм периметриPAM, жазылган сессиялар, обочолонгон тармактар
💡 Класс берилиштер/RoPA каталогунда белгиленет жана шифрлөө, ретеншн жана экспорт саясатына байланган.

3) Укук модели: RBAC + ABAC

RBAC: домендердин ролдору (Support, VIP, Payments, AML, KYC, FRM, BI, DevOps, DPO, Legal).
ABAC: контексттик атрибуттар (чөйрө, география, маалымат классы, түзмөк/MDM, убакыт, KYC деңгээл, кирүү максаты 'purpose', түзмөк тобокелдиги).

Мисал ABAC шарттары: BI аналитик гана PII жок 'events _' окуу мүмкүн, гана корпоративдик тармак/MDM, иш күндөрү 08: 00-21: 00, активдүү купуялык боюнча тренинг бар.

4) SoD - шайкеш келбеген функциялардын матрицасы

ФункцияУруксат берилгенТуура эмес (бөлүүнү талап кылат/4-eyes)
Paymentsкорутундуларды ырастооантифрод эрежелерин же VIP лимиттерин өзгөртүү
Anti-Fraud (FRM)эрежелерди өзгөртүү, hold коюуөз кэшауттар/chargeback чечимдерин бекитүү
Compliance/AMLEDD/STR/SAR, KYC окуутолук экспорт DWH/чийки Логи
Support/VIPпрофилди көрүү (жашырылган)КУС документтерине/чийки транзакцияларга жетүү
Data/BIагрегаттар/анонимдештирүү'purpose' жок PII көрүү
DevOps/SREинфраструктураны башкарууPII менен бизнес-таблицаларды окуу
Developersstage/dev, loi (маскир.) prod-PII
DPO/Privacyаудит, PII журналдарпрод-укуктарды өзгөртүү
💡 Акчага/PII/санкцияларга таасир этүүчү ар кандай операция эки тараптуу жактыруудан өтөт (демилгечи ≠ жактыруучу).

5) деңгээл жана кирүү түрлөрү

Read-only/Masked Read: BI/Support үчүн демейки.
Scoped Write: кызматтын/регламенттин чегинде өзгөрүүлөр (мисалы, кейс боюнча эскертүүлөрдү киргизүү).
Privileged Admin: PAM аркылуу гана (сырдуу сейф, сессиялык прокси, сессия жазуусу, сырларды айлантуу).
API/Service Accounts: минималдуу топтомдор, жеке ачкычтар per integration, mTLS.

6) JIT и break-glass

JIT (Just-in-Time): убактылуу укуктарды жогорулатуу (15-120 мин) белгилүү бир билет, автоматтык кайра чакыртып алуу, милдеттүү 'purpose'.
Break-glass: MFA + экинчи ырастоо менен шашылыш кирүү, сессия жазуу, пост-review Security + DPO, мыйзам бузуулар учурунда Auto-түзүлүшү окуя.

7) Процесстер (SOP)

7. 1 суроо/жетүү өзгөртүү (IDM/ITSM)

1. 'purpose', мөөнөтү жана маалымат ээси менен арыз.
2. Autoprection SoD/маалымат класс/юрисдикция.
3. Домен ээсинин макулдугу + Коопсуздук (Restricted + үчүн).
4. JIT/туруктуу жеткиликтүүлүк берүү (минималдуу сатып алуу).
5. Укуктар реестрине жазуу (кайра кароо датасы, SLA кайра чакыртып алуу).

7. 2 Укуктарды кайра сертификациялоо

Чейрек сайын ээлери топтордун/колдонуучулардын укуктарын ырасташат.
Пайдаланылбаган укуктарды автоматтык түрдө чакыртып алуу (> 30/60 күн).

7. 3 Маалыматтарды экспорттоо

Гана бекитилген терезелер/payplayns аркылуу; демейки маска; даректердин/форматтардын ак тизмелери; кол/хэш; түшүрүү журналы.

8) Сатуучуларды/өнөктөштөрдү көзөмөлдөө

Өзүнчө B2B-тенанттар, минималдуу API-скупы, allow-list IP, убакыт терезелери.
DPA/SLA: кирүү Логи, сактоо мөөнөтү, география, окуялар, субпроцессорлор.
Оффбординг: ачкычтарды чакыртып алуу, өчүрүүнү ырастоо, жабуу актысы.

9) Коопсуздук жана комплаенс менен интеграция

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: "purpose" жок анормалдуу көлөмү/кирүү/терезеден чыгуу/гео үчүн алерттерди.
GDPR/AML/PCI: Need-to-Know, DSAR-шайкештиги, төлөм периметри сегрегациясы, журналдар үчүн WORM.

10) Саясат мисалдар (үзүндүлөр)

10. 1 VIP-менеджер саясаты

Камуфляж кароо, экспорт тыюу салуу, JIT билети аркылуу KYC бир көрүү.

10. 2 Маркетинг аналитика саясаты

PII жок гана агрегаттар; макулдугу менен кирүү (CMP желеги), MDM түзмөктөн, жумуш убактысында.

10. 3 Psevdo-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

АктивдүүлүкCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owner
SoD саясаты/жеткиликтүүлүк деңгээлиA/RCCCCCC
RBAC/ABAC дизайнCCA/RRRRC
JIT/PAM/break-glassIIA/RRICI
Кайра сертификациялооCCARRRR
Экспорт/жашырууCARRRCC

12) Метрика жана KRIs/KPIs

Coverage ABAC: атрибут эрежелери боюнча критикалык топтомдордун 95% ≥.
JIT-rate: ≥ 80% укуктарды жогорулатуу JIT болуп саналат.
Offboarding TTR: 15 мүнөттөн ≤ иштен бошотуу/өчүрүү менен кирүүгө чакыртып алуу.
'purpose' жок анормалдуу кирүү: = 0 (KRI).
Quarterly recertification: 100% ролдор/топтор тастыкталган.
Export compliance: 100% экспорттор кол коюлган/жарыяланган.

13) Чек-баракчалар

13. 1 Кирүү алдында

  • Аныкталган 'purpose', мөөнөтү, маалымат ээси
  • Текшерүү SoD/юрисдикция/маалымат класс өттү
  • Минималдуу капкак + камуфляж кирет
  • MFA/MDM/тармак шарттары сакталат
  • орнотулган журналдар жана кайра карап чыгуу датасы

13. 2 Чейректик аудит

  • Топтор/ролдорду уюштуруу түзүмү менен салыштыруу
  • Пайдаланылбаган укуктарды кайтарып алуу
  • Break-glass текшерүү жана ири экспорттор
  • Тастыктоо окутуу (privacy/security)

14) Типтүү жагдайлар жана чаралар

A) Инженер Prod-DD үчүн убактылуу мүмкүнчүлүк керек

JIT 30-60 мин, PAM аркылуу жазылган сессия, пост-review, CAPA бузуулар.

B) Жаңы аффилиат оюнчуларды түшүрүүнү суранат

Гана агрегаттар/анонимдештирүү; эгерде PII - келишим, укуктук негиз, талаалардын ак тизмеси, журнал/кол тамга, чектелген шилтеме мөөнөтү.

C) VIP менеджер KYC документтерди көргүсү келет

Түз кирүүгө тыюу салуу; AML/KYC аркылуу суроо-талап, JIT аркылуу бирден-бир чыгаруу, талаалардын толук журналы.

15) Ишке ашыруунун жол картасы

Жумалар 1-2: Системаларды/маалыматтарды инвентаризациялоо, классификация, базалык RBAC матрицасы, баштапкы SoD таблицасы.
Жумалар 3-4: ABAC (шаршемби/гео/класс/MDM) киргизүү, JIT жана break-glass, PAM ишке киргизүү, экспорт журналдар.
Ай 2: CMC/төлөм периметрин сегментациялоо, жеке ачкычтар/KMS, SoD/ABAC бузуулар үчүн SOAR-алерталар.
Ай 3 +: чейректик ре-күбөлөндүрүү, атрибуттарды кеңейтүү (түзмөк/убакыт тобокелдиги), маскировкалоону автоматташтыруу, үзгүлтүксүз tabletop-машыгуулар.

TL; DR

Ишенимдүү жеткиликтүүлүк модели = маалыматтарды классификациялоо → RBAC + ABAC → SoD менен 4-көз → JIT/PAM жана катуу аудит → үзгүлтүксүз кайра тастыктоо жана экспортту көзөмөлдөө. Бул кыянаттык ыктымалдыгын азайтат жана аудиттердин/жөнгө салуучу текшерүүлөрдүн өтүшүн тездетет.

Contact

Биз менен байланышыңыз

Кандай гана суроо же колдоо керек болбосун — бизге кайрылыңыз.Биз дайым жардам берүүгө даярбыз!

Интеграцияны баштоо

Email — милдеттүү. Telegram же WhatsApp — каалооңузга жараша.

Атыңыз милдеттүү эмес
Email милдеттүү эмес
Тема милдеттүү эмес
Билдирүү милдеттүү эмес
Telegram милдеттүү эмес
@
Эгер Telegram көрсөтсөңүз — Emailден тышкары ошол жактан да жооп беребиз.
WhatsApp милдеттүү эмес
Формат: өлкөнүн коду жана номер (мисалы, +996XXXXXXXXX).

Түшүрүү баскычын басуу менен сиз маалыматтарыңыздын иштетилишине макул болосуз.