Идентификация аудити
1) Максаты жана натыйжасы
Максаты: ким кайда жана эмне үчүн жеткиликтүү экенин үзгүлтүксүз текшерүү аркылуу Zero Trust жана эң аз артыкчылыктардын принциптерине далилденген шайкештикти камсыз кылуу.
Натыйжасы: ички контролдоо жана жөнгө салуу үчүн далил базасы менен таризделген, ээлери тастыкталган, "илинип калган" жеткиликтүүлүктөрү жок болгон иденттүүлүктөрдүн жана укуктардын толук жана актуалдуу реестри.
2) камтуу аймагы
Ички колдонуучулар: кызматкерлери, стажёрлор, жетекчилери, убактылуу ролдору.
Подрядчылар/өнөктөштөр: оюн студиялары, PSP/KYC/AML-провайдерлер, аффилиаттар.
Сервистик идентификациялар: боттор, CI/CD, интеграциялар, ачкычтар жана API токендери.
Артыкчылыктуу ролдор: инфраструктуралык администраторлор/DD, Payments, Risk, Trading.
Оюнчулар (KYC контекстинде): туура байламталар эсеп-кысап KYC-Profile, RG/AML статусун (текшерүү жараяндар, документтердин мазмуну жок).
3) Терминдер жана принциптер
Identity (идентификация): атрибуттары бар уникалдуу субъект (адам/кызмат).
Entitlement (артыкчылык): белгилүү бир укук/ресурстук ролу.
JML: Joiner → Mover → Leaver - инсандыктын жашоо цикли.
SoD: жогорку тобокелдик иш үчүн милдеттерди бөлүштүрүү.
Least Privilege & Just-in-Time (JIT): чектелген убакытка берилген укуктардын минималдуу топтому.
Accountability: ар бир адамдын ээси бар, ар бир укуктун бизнес негиздемеси жана мөөнөтү бар.
4) Чындык булактары жана маалыматтар модели
HRIS/кадр системасы: кызматкер статусунун негизги булагы (hire/move/exit).
IdP/SSO: бирдиктүү аутентификация чекити (MFA/FIDO2), Киргизия.
IAM/IGA: ролдор, саясаттар жана кайра сертификациялоо процесстеринин каталогу.
CMDB/сервистердин каталогу: кирүү системаларына жана контурларына ээлик кылуу.
Провайдерлердин платформалары: PSP/KYC/CDN/WAF/оюн провайдерлери - тышкы кирүү порталдары.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.
5) Аудит текшерген контролдор
1. SSO жана MFA бардык жерде (жергиликтүү эсептер жана shared-эсептери жок).
2. RBAC/ABAC/PBAC: укуктар саясатчылар тарабынан сүрөттөлгөн (policy-as-code), ролдору - типтүү жана макулдашылган.
3. SoD: бири-бирине шайкеш келбеген ролдор жана өзгөчөлүктөр формалдаштырылган.
4. JIT/PAM: тикет, сессия жаздыруу жана авто-кайра чакыртып алуу менен убактылуу жогорулатуулар.
5. Сырлар/ачкычтар: сырлар менеджеринде, ротация жана жашоо мөөнөтү менен сакталат.
6. Журналдар жана далилдөө: tamper-evident, байланыш tracking ким/эмне/кайда/качан/эмне үчүн.
7. Data Access: PII жашыруу, экспорт - гана workflow шифрлөө жана TTL менен.
6) Аудит процесси (end-to-end)
1. Даярдоо: системалары боюнча укук (entitlements snapshot) тоңдуруп; IdP/IAM/провайдерлерден жүктөө.
2. Нормалдаштыруу: каталогго ролдорду сатып алуу, дедупликация, ресурстардын ээлери боюнча топтоо.
3. Тобокелдиктерди категориялаштыруу: P1/P2 (артыкчылыктуу жана сезимтал) → артыкчылыктуу текшерүү.
4. Укуктарды кайра сертификациялоо: системалардын ээлери укуктарды тастыктайт/четке кагат (access review кампаниялары).
5. SoD текшерүү: карама-каршылыктарды жана убактылуу өзгөчөлүктөрдү аныктоо (мөөнөтү бүткөн күн менен).
6. JML салыштыруу: hire/move/exit чыныгы укуктар менен салыштыруу (анын ичинде тышкы порталдар).
7. Сервистик эсептер: ээсинин болушу, кыска мөөнөттүү токендер, "god-scope" жок.
8. Далил базасы: артефакттардын пакетин түзүү (отчеттор, жүктөөлөр, актылар).
9. Remediation-план: кайра чакыртып алуу/оңдоо үчүн билеттер, мөөнөттөрү жана жоопкерчиликтүү.
10. Акыркы отчет: тобокелдик абалы, KPI цикл, сабактар жана саясатты жакшыртуу.
7) JML контурлары (бул тереңирээк текшерүү)
Joiner: негизги ролдорду автоматтык дайындоо, каталогдон тышкары кол менен "кошумчаларга" тыюу салуу.
Mover: Команда/жайгашкан жерди өзгөртүү → ролдорду автоматтык алмаштыруу, эски артыкчылыктарды кайра чакыртып алуу.
Leaver: X мүнөт/саат ичинде бардык укуктарды кайтарып алуу, почта/VPN/провайдерлердин порталдарын жабуу, ачкычтарды жана токендерди өчүрүү.
8) Тышкы көз карандылык жана порталдар
PSP/KYC/AML/CDN/WAF/оюн провайдерлери: ар бир аккаунттун ээси, максаты, мөөнөтү, MFA, жалпы аккаунттарга тыюу салуу.
Контракттык SoD/SLA: P1 операциялары үчүн кош-контролдун болушу (төлөмдөрдүн роутингин, бонустардын лимиттерин өзгөртүү ж.б.).
Үзгүлтүксүз салыштыруу: тышкы порталдардын реестри учурдагы колдонуучулардын тизмеси жана кайра сертификациялоонун натыйжалары.
9) iGaming домен өзгөчөлүктөрү
Payments & Risk: SoD өзүнчө бутактары; лимиттерди/роутингди өзгөртүү үчүн апрувалар; кол менен оңдоолорду текшерүү.
Trading/коэффициенттери: моделдөө үчүн кумсалар, өзүнчө жарыялоо ролдору, тез артка кайтаруу; өзгөртүү журналы.
Responsible Gaming/KYC/PII: катуу экспорттук көзөмөл, BI, SLA жөнгө салуучу суроо-талаптарды кайра иштетүү.
Аффилиаттар жана стримерлер: PIIге кирүү мүмкүнчүлүгү жок отчеттуулук мүмкүнчүлүгү чектелген порталдар.
10) Код катары саясат (PaC)
Репозиторийдеги саясатчылар (Rego/YAML), PR-review, тесттер.
allow/deny чечимдеринде динамикалык контекст: чөйрө (прод), убакыт, жайгашкан жери, операциянын критикалуулугу, KRI сигналдары (мисалы, сезгич аракеттердин күчөшү).
JIT көбөйтүүлөрүндө билетке жана максатка милдеттүү түрдө байлануу.
11) Журналдар жана далилдүүлүк
Окуялар чынжырчасы: админ-консол/IdP → API → DD → тышкы провайдерлер.
Tamper-evident: WORM/immutable-сактоо, кол жазмалар, катуу TTL.
Издөө жана жооп: ички/тышкы суроо-жооп SLA (аудит, жөнгө салуучу, банк/өнөктөш).
12) Метрика жана KPI/KRI
KPI:- Мөөнөтүндө тастыкталган укуктардын үлүшү (кайра сертификациялоо), мөөнөтү өтүп кеткен кампаниялардын%.
- Укуктарды толук алып салууга чейин (MTTR-leaver).
- JIT жогорулатуу үлүшү vs туруктуу артыкчылыктар.
- Бир цикл үчүн жоюлган SoD конфликттеринин саны.
- Капталган системалардын жана тышкы порталдардын толуктугу.
- Сезгич иш-аракет (экспорт PII, PSP өзгөрүүлөр).
- Пайдаланылбаган укуктар> N күн.
- пост-аудит жок Break-glass.
- Ээси/максаты/мөөнөтү жок эсептер.
13) Жол картасы киргизүү (8-12 жума)
Нед. 1-2: Идентификацияларды жана системаларды инвентаризациялоо (анын ичинде тышкы порталдар), ролдор каталогу жана SoD-матрица.
Нед. 3-4: SSO/MFA туташуу бардык жерде, бирдиктүү чогултуу entitlements, биринчи snapshot отчеттор.
Нед. 5-6: GA-кайра иштетүү кампанияларын ишке киргизүү (P1/P2 артыкчылык), Leaver боюнча автоматтык кайра карап чыгуу.
Нед. 7-8: Прод-контурлар үчүн JIT/PAM, сессияларды жазуу, провайдерлерден shared-аккаунттарга тыюу салуу.
Нед. 9-10: PaC: негизги саясаттарды (экспорт PII, PSP-роутинг, релиздер), unit-тесттер саясат.
Нед. 11-12: KPI/KRI дашборддору, чейректик циклдердин регламенти, комплаенс/жөнгө салуучулар үчүн отчеттуулук.
14) Артефакттардын үлгүлөрү
Role Catalog: ролу, сүрөттөлүшү, минималдуу артыкчылыктары, ээси, колдонулушу (Тенант/аймак/айлана-чөйрө).
SoD Matrix: туура келбеген ролдор/операциялар, өзгөчөлүктөр, мөөнөтү жана өзгөчөлүктөрдүн ээси.
Access Review Pack: укуктарды тастыктоо барагы, комментарийлер, натыйжасы (approve/revoke/mitigate).
Service Account Register: максаты, ээси, өмүр, сатып алуу, жашыруун сактоо, айлануу тартиби.
External Portals Inventory: система, байланыштар, колдонуучулардын тизмеси, MFA, акыркы кайра сертификациялоо датасы.
Evidence Checklist: кандай жүктөмөлөр/Логи жана аудит үчүн кандай форматта сакталат.
15) Антипаттерндер
Жалпы эсептер жана "админ түбөлүккө".
IdP/IGA айланып өтүүчү укуктарды кол менен берүү.
Жок SoD же мөөнөтү жок "убактылуу өзгөчөлүктөр" кабыл алуу.
Ротация/ээси жок сервистик токендер.
Экспорттук PII "кат" workflow жана шифрлөө жок.
Эч кандай аудит тышкы порталдар (PSP/KYC/оюн провайдерлери).
16) Тез-тез аудитордук табылгалар жана тез түзөтүү
Жумуштан бошотулган/подрядчылар менен байланышуу: HR (Leaver) окуялары боюнча авто-сын-пикирлерди киргизүү.
Ашыкча укуктар менен ролдор: кичине декомпозициялоо жана ABAC атрибуттарын байлоо.
Провайдерлердин Shared-эсептери: жеке + MFAга көчүү, сейрек кездешүүчү тапшырмалар үчүн убактылуу ролдорду берүү.
Узак жашоонун сырлары: кыска жашоочу токендерге/сертификаттарга жана пландуу ротацияга өтүү.
17) Окуя-менеджмент байланыш
Кирүү компоненти менен ар кандай окуя → тобокелдик реестрин жана саясатты милдеттүү түрдө жаңыртуу, таасир эткен ролдорду максаттуу кайра сертификациялоо, action items (жана мөөнөттөрү) менен пост-мортем.
Жыйынтык
Идентификациянын аудити кайталануучу, автоматташтырылган цикл болуп саналат: толук идентификация жана укуктар реестри → тобокелге багытталган кайра сертификация → катуу JML жана JIT/PAM → саясат катары код жана далилденген аудит → циклдин натыйжалары боюнча жакшыртуулар. Мындай контур кыянаттык жана ката ыктымалдыгын азайтат, тергөөлөрдү тездетет, талаптарга шайкештикти бекемдейт жана iGaming платформасынын негизги бизнес-операцияларын коргойт.