Ең аз қажетті құқықтар қағидаты
1) Мақсаты және анықтамасы
Мақсаты: пайдаланушыны/сервисті нақты міндетті орындау үшін қажетті ресурстарға ғана ең аз жеткілікті мерзімге және ең аз көлемде жіберу.
Анықтама: «ені (ресурстары), тереңдігі (операциялары), уақыты (TTL), контексті (гео/құрылымы/ауысымы), сезімталдығы (PII/қаржы) бойынша минимум».
2) Іске асырудың базалық қағидаттары
1. Need-to-Know: әрбір құқық нақты purpose (негіз) байланысты.
2. Time-Bound: жоғары құқықтар TTL (JIT); тұрақты құқықтар - тек read/masked.
3. Scope-Bound: жалға алу/өңір/бренд/жоба бойынша қолжетімділік шектелген (tenant/region scoping).
4. Data-Minimization: PII әдепкі бүркемеленген; de-mask - тек айқын негізде.
5. Traceability: кез келген қатынас → журналы + 'purpose '/' ticket _ id'.
6. Revocability: жылдам қайтарып алу (offboarding ≤ 15 минут, JIT - автоматты қайтарып алу).
3) Басқа бақылаулармен байланыс
RBAC: негізінде кім алады (негізгі рөл).
ABAC: қандай жағдайларда (гео, құрылғы/MDM, уақыт, KYC деңгейі, тәуекел) нақтылайды.
SoD: қауіпті рөлдер комбинацияларына тыйым салады, сезімтал әрекеттер үшін 4-eyes талап етеді.
Сегментация: желілік/логикалық периметрлер (төлем, KYC, DWH, құпиялар).
PAM/JIT/break-glass: уақытша артықшылықтарды қауіпсіз беру және оларды жазу.
4) Ресурстар мен операцияларды жіктеу
Операциялар: 'READ', 'MASKED _ READ' (PII үшін әдепкі), 'WRITE' (scoped), 'APPROVE _' (4-eyes), 'EXPORT' (тек витриналар арқылы, қолтаңба/журнал).
5) Құқықтар инженериясы «міндеттен қол жеткізуге»
1. User Story → Purpose: «Талдаушы PII-сіз ЕО бойынша конверсия есебін құру керек».
2. Ресурстар тізімі: 'agg _ conversions _ eu'.
3. Операциялар: 'READ' (PII-сыз), тыйым салу 'EXPORT _ RAW'.
4. ABAC контексі: жұмыс уақыты, корп-VPN/MDM, өңір = EU.
5. TTL: тұрақты masked-read; JIT бір рет бүркемелеу үшін (егер талап етілсе).
6. Журналдар: 'READ '/' EXPORT' с 'purpose' және 'fields _ scope'.
6) Бүркемелеу және таңдаулы бүркемелеу
Әдепкі электрондық пошта/телефон/IBAN/PAN жасыру;
Бүркемеленбеген қатынау ('pii _ unmask') - тек JIT + 'purpose' + домен иесінің растауы/Compliance;
Есептерде - агрегаттар/к-анонимділік, «шағын іріктемелерге» тыйым салу (privacy thresholds).
7) Уақытша артықшылықтар: JIT және break-glass
JIT: 15-120 минут, тикет, автоматты түрде кері қайтару, толық аудит.
Break-glass: авариялық қолжетімділік (MFA + екінші растау, сессия жазбасы, Security + DPO пост-ревю).
PAM: құпия сейф, сессиялық прокси, артықшылықтарды ротациялау.
8) Процестер (SOP)
8. 1 Рұқсат беру (IDM/ITSM)
1. Өтінім 'purpose', ресурстар, TTL/тұрақтылықпен.
2. SoD/юрисдикция/деректер/контекстер класын автотіркеу.
3. Домен иесін мақұлдау; для Restricted+ — Security/Compliance.
4. Ең аз сатып алуды беру (жиі masked-read).
5. Құқықтар тізіліміне жазба: қайта қарау күні, SLA қайтарып алу.
8. 2 Қайта сертификаттау (quarterly)
Домен иесі әрбір рөлді/топты растайды; пайдаланылмайтын құқықтар (> 30/60 күн) - автоматты түрде кері қайтарып алу.
8. 3 Деректерді экспорттау
Тек мақұлданған сөрелер арқылы; пішімдердің ақ тізімдері; қолы/хэш; түсіру журналы; PII - әдепкі иесіз.
9) Вендорларды/субпроцессорларды бақылау
Ең аз API жиынтықтары, жеке per интеграция кілттері, allow-list IP, уақыт терезелері.
DPA/SLA: рөлдер, қол жеткізу журналдары, ретеншн, география, инциденттер, субпроцессорлар.
Оффбординг: кілттерді қайтарып алу, жоюды растау, жабу актісі.
10) Аудит және мониторинг
Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: 'purpose' -сіз кіруге алерта, аномальды көлемдер, уақыт терезесінен шығу/гео, SoD бұзылуы.
WORM: журналдардың өзгермейтін көшірмесі + хэш-тізбектер/қолтаңбалар.
11) Жетілу өлшемдері (KPI/KRI)
Coverage: RBAC/ABAC астында критикалық жүйелер% ≥ 95%.
Masked Reads Ratio: ≥ 95% PII өтініштері жасырылған.
JIT Rate: ≥ 80% құқық арттыру JIT сияқты жүреді.
Offboarding TTR: құқықтарды кері қайтарып алу ≤ 15 мин.
Exports Signed: 100% экспорттық қол қойылды және қысқартылды.
SoD Violations: = 0; әрекеттер - авто-блок/тикет.
Dormant Access Cleanup: «аспалы» құқықтардың 98% ≥ 24 сағат ішінде жойылады.
12) Үлгілік сценарийлер
A) VIP-клиент үшін KYC бір рет қарау
Негізгі: masked-read VIP-менеджерде.
Әрекет: JIT-қатынау 'pii _ unmask' 30 минутқа тикет бойынша, өрістерді жазу/скрин-лог, пост-ревью.
B) Инженерге prod-БД қолжетімділік қажет
Тек қана PAM + JIT арқылы ≤ 60 мин, жазылған сессия, PII бойынша «SELECT» тыйым салу, бұзушылықтар кезінде пост-ревю және CAPA.
C) Ел бойынша қимасы бар BI-есеп
PII жоқ агрегаттарға қол жеткізу; ABAC сүзгісі: 'region in [EEA]', корп-VPN/MDM, уақыты 08: 00-21: 00.
13) Анти-паттерндер және олардан қашу
«Суперрольдер «/шекарасыз мұрагерлік → домендік рөлдерге бөлшектеу, ABAC-ты қосу.
Тұрақты артықшылықтар «жағдай үшін» → JIT + автоматты түрде қайтарып алу.
Prod-деректерді dev/stage → псевдоним/синтетикаға көшіру.
Витринадан тыс PII экспорты → ақ тізімдер, қолтаңба, журнал, бүркемелеу.
Жоқ 'purpose' → қатты блок және авто-тикет.
14) RACI (ірілендірілген)
15) Чек парақтары
15. 1 Кіру алдында
- 'purpose' және TTL көрсетілген
- SoD/юрисдикцияларды тексеру өтті
- Әдепкі бүркемелеу, ең аз қапшық
- ABAC шарттары: желі/құрылғы/уақыт/өңір
- Журналдау және қайта қарау күні теңшелді
15. 2 Тоқсан сайын
- Рөлдерді/топтарды тексеру, «аспалы» құқықтарды автоматты түрде қайтарып алу
- Аномалды экспорт пен break-glass
- Құпиялылық/қауіпсіздік бойынша расталған оқыту
16) Енгізу жол картасы
1-2 апталар: деректер/жүйелерді түгендеу, жіктеу, рөлдердің базалық матрицасы, әдепкі бүркемелеуді қосу.
3-4 апта: ABAC (орта/гео/MDM/уақыт), JIT және PAM, ақ экспорт тізімдері, 'purpose' журналдары.
2-ай: offboarding автоматтандыру, SOAR-алерта ('purpose '/аномалиясыз), тоқсандық қайта сертификаттау.
3 ай +: атрибуттарды кеңейту (КЖЖ деңгейі/құрылғы тәуекелі), privacy thresholds, тұрақты tabletop-жаттығулар.
TL; DR
Least Privilege = ең аз сатып алу + PII бүркемелеу + ABAC мәнмәтіні + JIT/PAM + қатаң аудит және жылдам пікір. Басқарылатын қолжетімділікті жасайды, ағу/алаяқтық қаупін азайтады және аудиттің өтуін жылдамдатады.