Саясатты өзгерту журналы

1) Мақсаты және құндылығы

• Өзгерістердің ашық тарихы: кім, не, қашан және неліктен.
• Аудиторлардың/реттеушілердің талаптарына сәйкестігі (ISO 27001, SOC 2, PCI DSS, GDPR және жергілікті нормалар).
• Тәуекелдерді басқару: өзгерістерді тәуекелді бағалаумен, инциденттермен және CAPA-жоспарлармен байланыстыру.
• Қызметкерлер, провайдерлер және әріптестер үшін ақиқаттың бірыңғай көзі.

Нәтиже: операциялық және комплаенс-тәуекел төмендейді, аудиттер мен тергеулер жеделдетіледі, онбординг уақыты қысқарады.

2) Қамту аумағы (scope)

• Қауіпсіздік және қолжетімділік: ІБ-саясат, инциденттерді басқару, осалдықтар, кілттер/шифрлау, құпия менеджмент, құпия саясат, IAM.
• Деректер және құпиялылық: GDPR/DSAR/RTBF, сақтау және жою, деректерді жіктеу, DLP, логи және аудит.
• Қаржы/AML/KYC: AML/KYB/KYC, санкциялық скрининг, қаражат көзін растау.
• Операциялар: BCP/DRP, өзгерістерді басқару, релиздік саясат, RACI, SRE/SLO.
• Құқықтық/реттеушілік: нарықтардың жергілікті талаптары, жарнамалық шектеулер, жауапты ойын.

3) Рөлдер және жауапкершілік (RACI)

R (Responsible): Саясат иесі (Policy Owner) және редактор (Policy Editor).
A (Accountable): Доменнің құжат иесі/CISO/Head of Compliance.
C (Consulted): Legal/DPO, Risk, SRE/Operations, Product, Data.
I (Informed): Барлық қызметкерлер, сыртқы мердігерлер (қажеттілігіне қарай).

Қағидаттары: жарияланымға dual-control; міндеттерді сегрегациялау; PII/реттеуші тақырыптар үшін міндетті Legal/DPO консультациялары.

4) Өзгерістің өмірлік циклі

1. Бастама: триггер (реттеуші талап, аудит-файндинг, инцидент, пентест, архитектураны өзгерту).
2. Жоба: Құжатты басқару жүйесіндегі өзгеріс (Confluence/Git/Policy CMS).
3. Ықпалын бағалау: процестерге, тәуекел-тізілімге, оқытуға, шарттарға, интеграцияға.
4. Келісу: Legal/DPO/Compliance/Tech/Operations, иесінің соңғы бекітуі.
5. Жариялау: нұсқаны беру, күшіне ену күні, тарату.
6. Онбординг: оқыту/бағалау, SOP/Runbook жаңартуы.
7. Мониторинг: сақталуын, метрикасын, ретроспективасын бақылау.

5) Журнал деректерінің моделі (міндетті өрістер)

'policy _ id' - саясаттың тұрақты идентификаторы.
'policy _ title' - құжаттың атауы.
'change _ id' - бірегей өзгеріс идентификаторы.
'version' - семантикалық нұсқа (MAJOR. MINOR. PATCH) немесе күні көрсетілген.

yaml change_id: POL-SEC-001-2025-11-01-M01 policy_id: POL-SEC-001 policy_title: Access Control Policy version: 2. 0. 0 change_type: MAJOR status: approved submitted_at: 2025-10-18T14:20:00Z approved_at: 2025-10-29T10:05:00Z published_at: 2025-10-30T09:00:00Z effective_from: 2025-11-15 proposer: d. kovalenko editor: secops. editors approver: ciso summary: Review roles and JIT access, enter quarterly-review.
rationale: "SOC Audit 2: CAPA-2025-17; incident # INC-5523"
risk_ref: RSK-AC-2025-004 legal_refs: ["ISO27001 A.5, A.8", "GDPR Art. 32"]
impact_scope: ["Prod Ops", "Payment Ops", "Affiliates"]
training_required: true attachments:
- link: confluence://AC-Policy-v2-diff
- link: git://policy-repo/pol-sec-001@v2. 0. 0 distribution_list: ["all@company", "ops@company", "vendors:payments"]
ack_required: true hold_flags: []

6) Нұсқаларға және өзгерістер түрлеріне қойылатын талаптар

MAJOR: міндетті талаптарды/бақылауды өзгертеді, аудитке/тәуекелдерге әсер етеді; оқытуды және өтпелі кезеңді талап етеді.
MINOR: нақтылаулар, мысалдар, шын мәнінде бақылауды өзгертпейді.
PATCH: емлені/сілтемелерді түзету; fast-track.
URGENT: оқиғаға/осалдыққа байланысты шұғыл түзету; жеделдетілген тәртіппен жариялау.
REGULATORY: жаңа реттеуші актіге/реттеуші хатқа байланысты жаңарту.

Нұсқалау: тегтерді/релиздерді белгілеңіз; хэшті PDF/HTML immutable артефактілері.

7) Workflow келісу

1. Draft → Review: үлгіні, сілтемелерді және метадеректерді автоматты түрде тексеру.
2. Multi-review: Legal/DPO/Compliance/Tech/Operations (параллель/дәйекті).
3. Approval: домен иесі + Accountable.
4. Publish: релиз-жазбаны генерациялау, Журналға жазу, тарату, жаңарту "effective_from".
5. Acknowledgement: қызметкерлерге квота жинау (LMS/HRIS).
6. Post-publish controls: SOP/шарттар/скрипттерді жаңарту тапсырмалары.

Екі кілттің ережесі: бекітілген рөлдер тізімінен 2 + келісу кезінде ғана жариялауға болады.

8) Заңды бекіту және мұздату (Legal Hold)

Қашан: тергеу, соттық сұрау салу, реттеушілік тексеру.
Не істейміз: 'hold _ flags = [«legal»]' жалаушасы, өшіру/редакциялау нұсқасы, WORM мұрағаты, Hold әрекеті журналы.
Hold алу: тек Legal/DPO; барлық іс-әрекеттер хаттамаланады.

9) Жекешелендіру және жергілікті реттеу

Журналда PII-ді барынша азайту (егер мүмкін болса, employee ID-ні e-mail орнына сақтаңыз).
Сақтау мерзімі = «сақтау кестесі» (policy records әдетте 5-7 жыл).
DSAR/RTBF: егер заңды сақтау міндеті болса, журнал жойылады; құқықтық негізді бекітеміз.

10) Интеграция

Confluence/Docs/Git: түзетулер мен артефактілердің көзі (diff, PDF).
IAM/SSO: қызметкерлердің рөлдері мен атрибуттары; журналға кіру аудиті.
LMS/HRIS: оқыту, тестілеу, квитирлеу.
GRC/IRM: тәуекелдермен, бақылаулармен, САРА/жоспарлармен байланыс.
SIEM/Логи: журналдағы операциялардың аудиті (кім қарап шықты/экспорттады).
Ticketing (Jira/YouTrack): бастамашыл тапсырмалар мен шығарылым чек парақтары.

11) Метрика және SLO

Coverage: журналда соңғы жазбасы бар өзекті саясаттардың% -ы (мақсаты ≥ 99%).
Time-to-Publish: 'submitted _ at' бастап 'published _ at' дейінгі уақыт медианы (мақсаты ≤ 14 күн; urgent ≤ 48 сағат).
Ack-rate: танысуды растаған қызметкерлердің үлесі (мақсаты 14 күнде 98% ≥).
Audit-readiness: артефактілердің толық жиынтығы бар саясаткерлердің үлесі (diff, PDF, қолтаңбалар) (мақсаты 100%).
Exceptions closed: мерзімі бойынша жабық ерекшеліктер/ауытқулар%.
Access audit: 0 журналға рұқсатсыз кіру инциденттері.

12) Дашборд (виджеттердің ең аз жиынтығы)

Соңғы жарияланымдар мен күшіне енулер таспасы.
Домендер бойынша мәртебелер картасы (Security, Data, AML, Ops).
Келісуді кешіктірудің жылу картасы.
Time-to-Publish/Time-in-Review гистограммасы.
Департаменттер мен рөлдер бойынша Ack-rate.
Ашық REGULATORY/URGENT өзгерістер тізімі.

13) Рәсімдер мен үлгілер

{policy_title} — {version}
Change ID: {change_id}      Type: {change_type}      Effective: {effective_from}
Summary: {summary}
Rationale: {rationale}
Impacts: {impact_scope}
Approvals: {approver} at {approved_at}
Artifacts: {links}
Training: {training_required}

• Барлық міндетті өрістер мен артефактілерге сілтемелер толтырылды
• Әсерді бағалау жүргізілді және тәуекелдер жаңартылды
• Келісімдер алынды (dual-control)
• Immutable пакеті құрылды (PDF + hash)
• Реттелген тарату және ACK науқаны
• SOP/Runbooks/келісімшарттар жаңартылды (егер талап етілсе)

14) Қол жеткізуді бақылау және қауіпсіздік

RBAC: оқу/құру/бекіту/мұрағаттау рөлдері.
Just-in-Time: жариялауға/экспорттауға уақытша өкілеттіктер.
Шифрлау: TLS in-transit, KMS at-rest; жасырын экспортқа тыйым салу.
Аудит: барлық операциялардың логтары, әдеттен тыс іс-әрекеттерге арналған алерттар (жаппай экспорт, жиі түзетулер).

15) Қадамдар бойынша енгізу

1. Саясаткерлер мен олардың иелерінің каталогы.

2. Бірыңғай жазба үлгісі + міндетті өрістер.

3. Confluence/Notion немесе қарапайым Policy-CMS тізілімі; экспорт immutable PDF.

4. / LMS пошта арқылы негізгі workflow келісу және ack-науқаны.

5. Қол жеткізу рөлдері және әрекеттерді журналдау.

• diff және семантикалық нұсқалау үшін Git-пен біріктіру.
• Тәуекелдермен/бақылаулармен GRC-байланыстар, аудит үшін есептер.
• KPI/SLO дашборды, мерзімі бойынша автоматты ескертулер.

• Сыртқы жүйелерге арналған API/вебхактар, үлгі сәйкестігін тексеру rule-as-code.
• Legal Hold + WORM-мұрағаты, релиз-пакеттердің крипто қолтаңбалары.
• Мультиюрисдикциялану (рыноктар/тілдер/нұсқалар бойынша тегтер).

16) Жиі қателер және оларды болдырмау

Журналдан тыс өзгерістер: жазбасыз жарияланымдарға тыйым салу, автоматты түрде тексеру.
rationale/сілтемелер жоқ: өрісті міндетті етіңіз + дереккөздердің үлгілері (реттегіш, аудит, инцидент).
ACK-бақылау жоқ: LMS/HRIS-ті біріктіріп, KPI-ны қадағалаңыз.
Жоба жазбалар мен жарияланымдарды араластыру: жеке кеңістіктерді/тармақтарды пайдаланыңыз.
Барлығына қол жеткізу: қатаң RBAC, экспорт оқу аудиті.

17) Глоссарий (қысқаша)

Policy - міндетті талаптары бар басқару құжаты.
Standard/Procedure/SOP - нақтылау және орындау тәртібі.
CAPA - түзету және ескерту әрекеттері.
Acknowledgement (ack) - қызметкердің танысқанын растау.
Legal Hold - өзгерістерді/жоюды заңды мұздату.

18) Қорытынды

Саясаттың өзгеру журналы - бұл тек «түзетулер тарихы» ғана емес, нақты рөлдері, деректер моделі, қолжетімділікті бақылау, заңдық белгілеу және метрикалары бар басқарылатын процесс. Оны іске асыру аудитті жеделдетеді, сәйкессіздік тәуекелін азайтады және бүкіл ұйымда операциялық тәртіпті арттырады.