GH GambleHub

Кіру саясаты және сегменттеу

1) Мақсаты мен қағидаттары

Мақсаты: аудит үшін дәлелденетін «кім, неге және неге қол жеткізе алады» қатаң бақылауы арқылы ағып кету/алаяқтық тәуекелін және реттеуші салдарды барынша азайту.
Қағидаттары: Least Privilege (минималды құқықтар), Need-to-Know, Zero Trust, Segregation of Duties (SoD), Just-in-Time (JIT), бір басу арқылы қадағалану және қайтарып алу.

2) Деректерді жіктеу және қорғау деңгейлері

СыныпМысалдарҚорғау және қол жеткізу
Publicстатикалық беттер, маркетингрұқсатсыз қол жетімді
InternalPII жоқ операциялық метриктерSSO, «read-only» рөлі
ConfidentialDWH агрегаттары, идентификаторсыз есептерSSO + MFA, мақұлданған топтар, журнал
Restricted (PII/қаржы)KYC, транзакциялар, RG-сигналдар, санкциялар/РЕРАтрибуттар бойынша ABAC, JIT, өріс журналы, WORM-лог
Highly Restrictedкілттер, құпиялар, әкімшілік консольдар, PAN-сегментPAM, оқшауланған периметр, mTLS, жазылған сессиялар
💡 Сынып RoPA/деректер каталогында беріледі және шифрлау саясатына, ретеншн және қол жеткізу тәсілдеріне байланыстырылған.

3) Қол жеткізу моделі: RBAC + ABAC

RBAC (рөлдер): «рөл → рұқсат» базалық матрицасы.
ABAC (атрибуттар): контекстік ережелер (ойыншының/оператордың юрисдикциясы, орта сегменті, теру сезімталдығы, ауысым/уақыт, құрылғы, KYC тексеру деңгейі, қызметтік тапсырма/purpose).

ABAC-шарттар мысалы (логика):
  • Marketing-талдаушы «events _» кестелерін тек талдамаға келісімі бар елдер үшін, тек жұмыс күндері сағат 08: 00-21: 00, тек корпоративтік желіден/MDM-құрылғыдан, PII өрістерсіз оқи алады (бүркемелеу қосылған).

4) SoD - міндеттерді бөлу (антифрод және комплаенс)

ФункцияНе істеуге боладыТыйым салынған нәрсе
Anti-Fraudантифрод ережелерін өзгертужеке кэшауттарды/VIP лимиттерді мақұлдау
Paymentsқорытындыны растауантифрод ережелерін редакциялау
Compliance/AMLEDD/STR жабу, KYC оқубарлық DWH тікелей экспорттау
DPO/Privacyаудит, PII журналдарын оқуprod-құқықтарды өзгерту
SRE/DevOpsинфрақұрылымды әкімшілендірубизнес-PII кестелерді оқу
Developerslogs/dev/stage қатынауPII бар prod-деректерге қатынау
Support/VIPОйыншының профилін оқу (жасырын)шикі PII экспорты
💡 Ақшаға/PII-ге әсер ететін кез келген әрекет екі контурлы тексеруді (4-көз қағидаты) немесе автоматты түрде тексеру-мақұлдауды талап етеді.

5) JIT, break-glass и PAM

JIT (Just-in-Time): жоғарылатылған құқықтар нақты тапсырмаға шектеулі интервалға (15-120 мин) беріледі және автоматты түрде кері қайтарылады.
Break-glass: жеке рәсім арқылы авариялық қолжетімділік (MFA + екінші растау + міндетті purpose көрсету), сессияның толық жазбасы және ревью постфактум.
PAM: әкімшілік-аккаунттар үшін - құпия сақтау орындары, мінез-құлық талдауы, кілттерді/құпияларды ротациялау, жазбасы бар сессиялық прокси.

6) Сегментация: орта, желілік және логикалық

6. 1 ортасы: 'prod' ≠ 'stage' ≠ 'dev'. Prod-деректер stage/dev көшірілмейді; синтетикалық немесе псевдонимделген жиынтықтар пайдаланылады.

6. 2 Желілер (аймақ үлгісі):
  • Edge/WAF/CDN → App-аймақ → Data-аймақ (DWH/DB) → Secrets/KMS.
  • Төлем периметрі (PSP/карта) жалпы prodтан оқшауланған; КБК/санкциялар - жеке сегмент.
  • 6. 3 Логикалық сегментация: аттардың кеңістігі (K8s), tenant-IDs, ДБ схемалары/деректер каталогы, жеке шифрлау кілттері per tenant/өңір.
  • 6. 4 Гео-сегментация: орналасуына сәйкес сақтау/өңдеу (EC/UK/...); өңір бойынша гидтер мен кілттерді бағыттау.

7) Вендорлар мен әріптестердің қолжетімділігі

Механика: жеке B2B-тенанттар/жазбалар, минималды API-купалар, mTLS, allow-list IP, уақыт-терезелер.
Шарттар: DPA/SLA (журналдар, сақтау мерзімдері, география, инциденттер, қосалқы процессорлар).
Оффбординг: кілттерді қайтарып алу, жоюды растау, жабу актісі.
Мониторинг: аномальды көлемдерге алерттар, жаппай экспортқа тыйым салу.

8) Процестер (SOP)

8. 1 Кіруді сұрау/өзгерту

1. IDM/ITSM-ге purpose және мерзімі бар өтінім.
2. SoD/юрисдикция/деректер класын автотіркеу.
3. + Security/Compliance домен иесінің мақұлдауы (егер Restricted + болса).
4. JIT/тұрақты қолжетімділікті беру (ең аз жиынтық).
5. Журналға жазу: кім/қашан/не берілді; қайта қарау күні.

8. 2 Мерзімді қайта қарау (recertification)

Тоқсан сайын: иелері топтардың құқықтарын растайды; пайдаланылмайтын құқықтарды автоматты түрде қайтарып алу (> 30/60 күн).

8. 3 Деректерді экспорттау

Тек мақұлданған пайплайндар/витриналар арқылы, форматтардың ақ тізімдері бойынша (CSV/Parquet/JSON), әдепкі бүркемелеу, қолтаңба/хэш, түсіру журналы.

9) Құрылғы саясаты және контекст

MDM/EMM: тек басқарылатын құрылғылардан Restricted/Highly Restricted қатынау.
Контекст сигналдары: гео, құрылғы тәуекелі, тәулік уақыты, MFA жағдайы, IP беделі - ABAC атрибуттары ретінде.
Шолғыш кеңейтімдері/экран қармауы: бақылау және журнал, сезімтал консольдерге тыйым салу.

10) Саясаттың мысалдары (үзінділер)

10. 1 YAML (жалған) - маркетинг талдаушысы үшін ABAC

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL-бүркемелеу (идея)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Мониторинг, журналдар мен конкурстар

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.
KRIs: 'purpose' = 0; терезеден тыс Highly Restricted әрекеті; істен шыққан SoD-тексерулердің үлесі; аномалды түсіру.
KPI:% JIT сұраулары ≥ 80%; қолжетімділікті берудің орташа уақыты ≤ 4 сағат; 100% қайта сертификаттаумен жабу.
SOAR-плейбуктер: қауіп төнген кездегі авто-пікір, тергеуге арналған тикеттер.

12) Талаптарға сәйкестігі (қысқаша карта)

GDPR/UK GDPR: барынша азайту, Need-to-Know, DSAR-үйлесімділігі, PII аудиті.
AML/KYC: КБК/санкцияларға қол жеткізу - тек оқытылған рөлдер үшін, шешімдер журналы.
PCI DSS (егер қолданылатын болса): төлем аймағын сегрегациялау, PAN/CSC сақтауға тыйым салу, жеке кілттер/хостинг.
ISO/ISMS: формальды кіру саясаты, жыл сайынғы аудиттер мен тестілер.

13) PACI

БелсенділікCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Саясат және SoDA/RCCCCCC
RBAC/ABAC моделіCCA/RRRRC
IDM/JIT/PAMIIA/RRICI
Қайта сертификаттауCCARRRR
Экспорттау/жасыруCARRRCC

14) Жетілу метрикасы

Критикалық деректер жиынтығының ABAC-ережелерімен жабылуы 95% ≥.
JIT-сессиялар/барлық құқықтарды арттыру ≥ 90%.
Offboarding бойынша рұқсатты кері қайтарып алу уақыты ≤ 15 мин.
0 оқиғалар «рөлі ≠ функциясы» (SoD).
Қол жеткізу журналдарының 100% қол жетімді және тексерілген (қолтаңба/хэш).

15) Чек парақтары

15. 1 Кіру алдында

  • purpose, мерзімі және деректер иесі анықталған
  • SoD/юрисдикцияларды тексеру өтті
  • Ең аз сатып алу/бүркемелеу қосылған
  • MFA/MDM/желілік шарттар сақталған
  • Журналдау және қайта қарау күні теңшелді

15. 2 Тоқсан сайын шолу

  • Топтар мен рөлдерді ұйымдастыру құрылымымен салыстыру
  • «Ілініп тұрған» құқықтарды автоматты түрде қайтару
  • Аномалды экспорт пен break-glass
  • Оқыту және тест-алерталар

16) Үлгілік сценарийлер мен шаралар

A) «VIP-менеджер» жаңа рөлі

VIP профильдеріне кіру (жасырын), экспорттауға тыйым салу, JIT-ті KYC-ті бір рет көру.

B) Вендор-аудит BI

PII жоқ витриналарға read-only, уақытша VPN + allow-list, жергілікті сақтауға тыйым салу, түсіру журналы.

C) DevOps prod-ДБ-ға шұғыл қол жеткізу

break-glass ≤ 30 мин, сессия жазбасы, бұзушылықтар кезінде DPO/Compliance, CAPA-мен пост-ревью.

17) Енгізу жол картасы

1-2 апталар: деректер/жүйелерді түгендеу, деректер кластары, базалық RBAC-матрица, SoD.
3-4 апта: ABAC (бірінші атрибуттар: орта, гео, деректер класы), IDM-ағындар, JIT/break-glass, PAM енгізу.
Ай 2: төлем және KYC-периметрі сегментациясы, жеке кілттер/KMS, экспорт журналдары, SOAR-алерты.
3 + айы: тоқсандық қайта сертификаттау, атрибуттарды кеңейту (құрылғы/тәуекел), бүркемелеуді автоматтандыру, тұрақты оқу-жаттығулар.

TL; DR

Сенімді қол жеткізу моделі = деректерді жіктеу → RBAC + ABAC → SoD + JIT/PAM → қатаң сегментация → журналдар мен алерталар. Бұл ағу және теріс пайдалану ықтималдығын төмендетеді, аудитті жеделдетеді және платформаны GDPR/AML/PCI және ішкі стандарттар шегінде ұстайды.

Contact

Бізбен байланысыңыз

Кез келген сұрақ немесе қолдау қажет болса, бізге жазыңыз.Біз әрдайым көмектесуге дайынбыз!

Интеграцияны бастау

Email — міндетті. Telegram немесе WhatsApp — қосымша.

Сіздің атыңыз міндетті емес
Email міндетті емес
Тақырып міндетті емес
Хабарлама міндетті емес
Telegram міндетті емес
@
Егер Telegram-ды көрсетсеңіз — Email-ге қоса, сол жерге де жауап береміз.
WhatsApp міндетті емес
Пішім: +ел коды және номер (мысалы, +7XXXXXXXXXX).

Батырманы басу арқылы деректерді өңдеуге келісім бересіз.