Сәйкестендіру аудиті
1) Мақсаты және нәтижесі
Мақсаты: қайда және неліктен кімнің қандай қолжетімділігі бар екенін тұрақты тексеру арқылы Zero Trust қағидаттарына және ең аз артықшылықтарға дәлелденетін сәйкестікті қамтамасыз ету.
Нәтижесі: ішкі бақылау және реттеуіштер үшін дәлелді базамен ресімделген, иелері расталған, «ілініп қалған» қолжетімділіктері жойылған сәйкестіктер мен құқықтардың толық және өзекті тізілімі.
2) Қамту саласы
Ішкі пайдаланушылар: штат, тағылымдамадан өтушілер, басшылар, уақытша рөлдер.
Мердігерлер/серіктестер: ойын студиялары, PSP/KYC/AML-провайдерлер, аффилиаттар.
Сервистік ұқсастықтар: боттар, CI/CD, интеграциялар, кілттер және API токендері.
Артықшылықты рөлдер: инфрақұрылым әкімшіліктері/БД, Payments, Risk, Trading.
Ойыншылар (KYC контексінде): байланыстырғыштың дұрыстығы, есепке алу, KYC-профиль, RG/AML мәртебелері (процестерді тексеру, құжаттардың мазмұны емес).
3) Терминдер мен қағидаттар
Identity (сәйкестік): атрибуттары бар бірегей субъект (адам/сервис).
Entitlement (артықшылық): ресурсқа нақты құқық/рөл.
JML: Joiner → Mover → Leaver - бірегейліктің өмірлік циклі.
SoD: жоғары тәуекелді операциялар үшін міндеттерді бөлу.
Least Privilege & Just-in-Time (JIT): шектеулі уақытқа берілген құқықтардың ең аз жиынтығы.
Accountability: әрбір сәйкестіктің иесі бар, әрбір құқықтың бизнес-негіздемесі мен мерзімі бар.
4) Ақиқат көздері және деректер моделі
HRIS/кадр жүйесі: қызметкер мәртебесінің бастапқы көзі (hire/move/exit).
IdP/SSO: бірыңғай аутентификация нүктесі (MFA/FIDO2), федерация.
IAM/IGA: рөлдер, саясат және қайта сертификаттау процестерінің каталогы.
CMDB/Сервистер каталогы: жүйелер мен контурларды иелену.
Провайдерлердің платформалары: PSP/KYC/CDN/WAF/ойын провайдерлері - сыртқы қолжетімділік порталдары.
Модель: Identity → (belongs to) → Org Unit/Team → (has) → Roles → (expand via ABAC) → Entitlements → (apply) → Resources.
5) Аудит тексеретін бақылаулар
1. SSO және MFA барлық жерде (жергілікті тіркелгілерсіз және shared-аккаунтсыз).
2. RBAC/ABAC/PBAC: құқықтар саясаттармен сипатталған (policy-as-code), рөлдер - үлгілік және келісілген.
3. SoD: үйлеспейтін рөлдер мен ерекшеліктер қалыптастырылған.
4. JIT/PAM: тикетпен, сессия жазбасымен және авто-пікірмен уақытша жоғарылату.
5. Құпиялар/кілттер: құпиялар менеджерінде ротациямен және өмір сүру мерзімімен сақталады.
6. Журналдар және дәлелденуі: tamper-evident, байланыстық трассировка кім/не/қайда/қашан/неге.
7. Data Access: PII бүркемелеу, экспорт - тек workflow бойынша шифрлау және TTL.
6) Аудит процесі (end-to-end)
1. Дайындау: жүйелер бойынша құқықтарды түсіруді (entitlements snapshot) мұздату; IdP/IAM/провайдерлерден түсіру.
2. Қалыпқа келтіру: каталогқа рөлдердің мэппингі, дедупликация, ресурстар иелері бойынша топтастыру.
3. Тәуекелді санаттау: P1/P2 (артықшылықты және сезімтал) → басым тексеру.
4. Құқықтарды қайта сертификаттау: жүйе иелері құқықтарды растайды/қабылдамайды (access review кампаниялары).
5. SoD тексеру: сәйкессіздіктер мен уақытша ерекшеліктерді анықтау (мерзімі өткен).
6. JML салыстыру: hire/move/exit нақты құқықтармен (оның ішінде сыртқы порталдар) салыстыру.
7. Сервистік есептер: иесінің болуы, қысқа мерзімді токендер, «god-scope» жоқ.
8. Дәлелдеу базасы: артефактілер пакетін қалыптастыру (есептер, түсірулер, актілер).
9. Remediation-жоспар: қайтарып алуға/түзетуге арналған тикеттер, мерзімдер және жауаптылар.
10. Қорытынды есеп: тәуекелдер жағдайы, KPI цикл, сабақтар және саясатты жақсарту.
7) JML контурлары (тереңірек тексереміз)
Joiner: негізгі рөлдерді автоматты түрде тағайындау, каталогтан тыс қол «қоспаларына» тыйым салу.
Mover: пәрменді/орынды ауыстыру → рөлдерді автоматты түрде ауыстыру, ескі артықшылықтарды қайтарып алу.
Leaver: X минут/сағат ішінде барлық құқықтарды қайтарып алу, провайдерлердің поштасын/VPN/порталдарын жабу, кілттер мен токендерді өшіру.
8) Сыртқы тәуелділіктер және порталдар
PSP/KYC/AML/CDN/WAF/ойын провайдерлері: әрбір есепте - иесі, мақсаты, мерзімі, MFA, ортақ аккаунттарға тыйым салу.
Келісімшарттық SoD/SLA: P1 операциялары үшін dual-control болуы (төлемдер роутингінің, бонустар лимиттерінің өзгеруі және т.б.).
Тұрақты салыстыру: сыртқы порталдар тізілімі өзекті пайдаланушылар тізімі, қайта сертификаттау нәтижелері.
9) iGaming доменінің ерекшеліктері
Payments & Risk: SoD жеке тармақтары; лимиттердің/роутингтің өзгеруіне апрувалар; қол түзетулерінің аудиті.
Trading/коэффициенттер: модельдеу үшін құмсалғыштар, жарияланымның жеке рөлдері, жылдам кері қайту; өзгерістер журналы.
Responsible Gaming/KYC/PII: қатаң экспорт бақылау, BI бүркемелеу, SLA реттегіш сұрауларын өңдеу.
Аффилиаттар және стримерлер: PII қолжетімділігі жоқ есептілік мүмкіндіктері бар шектеулі порталдар.
10) Саясат код ретінде (PaC)
Репозиторийдегі саясат (Rego/YAML), PR-ревю, тестілер.
allow/deny шешімдеріндегі динамикалық контекст: қоршаған орта (prod), уақыт, орналасу, операцияның сындылығы, KRI сигналдары (мысалы, сезімтал әрекеттердің көтерілуі).
JIT-арттыру кезінде міндетті түрде тикет пен мақсатқа байланыстыру.
11) Журналдар және дәлелдеу
Оқиғалар тізбегі: әкімшілік-консоль/IdP → API → БД → сыртқы провайдерлер.
Tamper-evident: WORM/immutable-сақтау, жазба қолтаңбасы, қатаң TTL.
Іздеу және жауаптылық: ішкі/сыртқы сұрау салуларға жауаптың SLA (аудит, реттеуші, банк/әріптес).
12) Метрика және KPI/KRI
KPI:- Мерзімінде расталған құқықтардың үлесі (қайта сертификаттау), мерзімі өткен науқандар%
- Жұмыстан шығарудан құқықтарды толық қайтарып алуға дейінгі уақыт (MTTR-leaver).
- JIT-көтерулердің үлесі vs тұрақты артықшылықтар.
- Кезең ішінде жойылған SoD қайшылықтарының саны.
- Жабылған жүйелер мен сыртқы порталдардың толықтығы.
- Сезімтал әрекеттерді дәнекерлеу (PII экспорты, PSP өзгерістері).
- Пайдаланылмайтын құқықтар> N күн.
- Пост-аудитсіз Break-glass.
- Иесі/мақсаты/мерзімі жоқ аккаунттар.
13) Енгізудің жол картасы (8-12 апта)
Нед. 1-2: бірегейліктер мен жүйелерді түгендеу (сыртқы порталдарды қоса алғанда), рөлдер каталогы және SoD-матрица.
Нед. 3-4: SSO/MFA-ны барлық жерде қосу, entitlements бірыңғай жинау, бірінші snapshot-есептер.
Нед. 5-6: GA-қайта сертификаттау кампанияларын іске қосу (P1/P2 басымдық), Leaver бойынша автоматты пікір.
Нед. 7-8: Прод-контурлар үшін JIT/PAM, сессияларды жазу, провайдерлерде shared-аккаунттарға тыйым салу.
Нед. 9-10: PaC: негізгі саясатты формалдандыру (экспорт PII, PSP-роутинг, релиздер), саясаттың unit-тестілері.
Нед. 11-12: KPI/KRI дашбордтар, тоқсандық циклдардың регламенті, комплаенс/реттегіштер үшін есептілік.
14) Артефактілердің үлгілері
Role Catalog: рөлі, сипаттамасы, ең аз артықшылықтары, иесі, қолданылуы (тенант/өңір/қоршаған орта).
SoD Matrix: сыйыспайтын рөлдер/операциялар, ерекшеліктер, мерзімі және ерекшеліктер иесі.
Access Review Pack: құқықтарды растау парағы, түсініктемелер, нәтиже (approve/revoke/mitigate).
Service Account Register: мақсаты, иесі, өмір сүру мерзімі, сатып алу, құпияларды сақтау орны, ротация кестесі.
External Portals Inventory: жүйе, контактілер, пайдаланушылар тізімі, MFA, соңғы қайта сертификаттау күні.
Evidence Checklist: қандай жүктеулер/логтар және аудит үшін қандай форматта сақтау керек.
15) Антипаттерндер
Жалпы есептер және «мәңгі әкімшілік».
IdP/IGA рұқсаттарын қолмен беру.
Мерзімі өтпеген SoD болмауы немесе «уақытша ерекшеліктер» рұқсаты.
Сервистік токендер ротациясыз/иеленушісіз.
workflow және шифрлаусыз «хат бойынша» PII экспорттау.
Сыртқы порталдардың аудиті жоқ (PSP/KYC/ойын провайдерлері).
16) Аудиттің жиі табылуы және жылдам түзету
Жұмыстан босатылған/мердігерлерде қол жетімділіктің болуы: HR (Leaver) оқиғалары бойынша авто-пікірді қосу.
Артық құқықты рөлдер: кішірек етіп декомпозициялау және ABAC төлсипаттарын байлау.
Провайдерлердегі Shared-аккаунттар: жеке + MFA көші-қон, сирек кездесетін тапсырмалар үшін уақытша рөлдерді беру.
Ұзақ өмір сүретін құпиялар: қысқа өмір сүретін токендерге/сертификаттарға және жоспарлы ротацияға көшу.
17) Инцидент-менеджмент байламы
Кіру компоненті бар кез келген инцидент → тәуекелдер тізілімін және саясатты міндетті түрде жаңарту, қозғалған рөлдерді нүктелік қайта сертификаттау, action items (және мерзімдері) бар пост-мортем.
Жиынтығы
Сәйкестендіру аудиті - бұл қайталанатын, автоматтандырылған цикл: сәйкестіктер мен құқықтардың толық тізілімі → тәуекелге бағытталған қайта сертификаттау → қатаң JML және JIT/PAM → саясат код және дәлелденген аудит → цикл нәтижелері бойынша жақсартулар. Мұндай контур теріс пайдаланулар мен қателіктер ықтималдығын төмендетеді, тергеуді жеделдетеді, талаптарға сәйкестікті нығайтады және iGaming-платформасының негізгі бизнес-операцияларын қорғайды.