Сиёсатҳо ва сегментатсия

1) Мақсад ва принсипҳо

Ҳадаф: кам кардани хатари ихроҷ/қаллобӣ ва оқибатҳои танзимкунанда тавассути назорати қатъии "кӣ, чӣ ва чаро дастрасӣ" бо исботи аудит.
Принсипҳо: Имтиёзи камтарин (ҳуқуқҳои ҳадди аққал), Ниёз ба донистан, Боварӣ ба сифр, Ҷудокунии вазифаҳо (СО), Just-in-Time (JIT), пайгирӣ ва ёдраскунии як клик.

2) Сатҳи таснифот ва ҳифзи маълумот

Синф	Намунаҳо	Муҳофизат ва дастрасӣ
Ҷамъият	саҳифаҳои статикӣ, маркетинг	бе иҷозат дастрас аст
Дарунӣ	ченакҳои амалиётии ғайри PII	SSO, нақши танҳо барои хондан
Махфӣ	Агрегатҳои DWH, гузоришҳо бидуни ID	SSO + ВКХ, гурӯҳҳои тасдиқшуда, маҷалла
Маҳдудият (PII/Молия)	KYC, муомилот, сигналҳои RG, таҳримот/PEP	ABAC аз рӯи хусусиятҳо, JIT, сабти саҳроӣ, сабти WORM
Маҳдудияти баланд	калидҳо, асрори, консолҳои маъмурӣ, сегменти PAN	PAM, периметри ҷудошуда, m: TLS, ҷаласаҳои сабтшуда

💡 Синф дар феҳристи маълумотҳои ROPA таъин шудааст ва бо сиёсати рамзгузорӣ, нигоҳдорӣ ва дастрасӣ алоқаманд аст.

3) Модели дастрасӣ: RBAC + ABAC

RBAC (нақшҳо): матритсаи асосии "нақш → ҳалли".
ABAC (атрибутҳо): қоидаҳои контекст (юрисдиксияи бозингар/оператор, сегменти муҳити зист, ҳассосияти муқарраршуда, гузариш/вақт, дастгоҳ, сатҳи санҷиши KYC, вазифаи хидматрасонӣ/мақсад).

Намунаи ҳолати ABAC (мантиқ):

Таҳлилгари маркетинг метавонад ҷадвалҳоро танҳо барои кишварҳое, ки розигии таҳлилро доранд, хонад, танҳо дар рӯзҳои корӣ 08: 00-21: 00, танҳо аз шабакаи корпоративӣ/дастгоҳи MDM, бидуни майдонҳои PII (ниқоб фаъол аст).

4) Пас D - тақсимоти вазифаҳо (зидди қаллобӣ ва мувофиқат)

Функсия	Чӣ шумо метавонед	Чӣ манъ аст
Анти қаллобӣ	тағир додани қоидаҳои зидди қаллобӣ	Маҳдудиятҳои cashouts/VIP-и худро тасдиқ кунед
Пардохтҳо	хулосаҳоро тасдиқ кунед	таҳрир кардани қоидаҳои зидди қаллобӣ
Мувофиқат/AML	пӯшидани EDD/STR, хондани KYC	содироти мустақими тамоми DWH
DPO/Махфият	аудит, хондани гузоришҳои PII	тағир додани ҳуқуқҳои prod
SRE/Девонҳо	идоракунии инфрасохтор	ҷадвалҳои тиҷорати PII-ро хонед
Таҳиягарон	дастрасӣ ба гузоришҳо/dev/stage	дастрасӣ ба маълумоти prod бо PII
Дастгирӣ/VIP	профили бозингарро хонед (ниқоб)	содироти PII хом

💡 Ҳама гуна амале, ки ба пул/PII таъсир мерасонад, санҷиши дукарата (принсипи 4 чашм) ё тасдиқи автоматии чиптаро талаб мекунад.

5) JIT, шишаи ПАМ

JIT (Just-in-Time): Ҳуқуқҳои баландшуда барои фосилаи маҳдуд (15-120 дақиқа) барои вазифаи муайян дода мешаванд ва ба таври худкор бекор карда мешаванд.
Шиша: дастрасии фавқулодда тавассути тартиби алоҳида (ВКХ + тасдиқи дуюм + ҳадафи ҳатмӣ), сабти пурраи ҷаласа ва баррасии пас аз воқеӣ.
PAM: барои ҳисобҳои маъмурӣ - мағозаҳои парол, таҳлили рафтор, гардиши калид/махфӣ, прокси сессия бо сабт.

6) Сегментатсия: миёна, шабака ва мантиқӣ

6. 1 Муҳит: 'prod' ≠ 'марҳилаи' ≠ 'dev'. Маълумоти Prod ба марҳила/dev нусхабардорӣ карда намешавад; маҷмӯаҳои синтетикӣ ё бегонаро истифода мебарад.

6. 2 Шабакаҳо (минтақаҳои мисол):

Edge/WAF/CDN → Минтақаи App → Минтақаи маълумот (DWH/DB) → Асрҳо/KMS.
Периметри пардохт (PSP/кортҳо) аз prod оддӣ ҷудо карда шудааст; CCM/санксияҳо - як сегменти алоҳида.
6. 3 Тақсимоти мантиқӣ: фазои номҳо (K8s), иҷорагир-ID, схемаҳои DB/феҳристи маълумот, калидҳои рамзгузории инфиродӣ барои иҷорагир/минтақа.
6. 4 Ҷуғрофия: нигоҳдорӣ/коркард аз рӯи макон (EC/UK/...); роҳнамо ва калидҳои атрофи минтақа.

7) Дастраси фурӯшанда ва шарик

Механика: иҷорагирон/суратҳисобҳои инфиродии B2B, ҳадди аққали API, MTLS, рӯйхати IP, вақти тиреза.
Шартномаҳо: DPA/SLA (гузоришҳо, мӯҳлати нигоҳдорӣ, ҷуғрофия, ҳодисаҳо, зерсохторҳо).
Offboard: бозхонди калидӣ, тасдиқи несткунӣ, санади пӯшида.
Мониторинг: огоҳиҳо дар бораи ҳаҷми ғайримуқаррарӣ, манъи содироти оммавӣ.

8) Равандҳо (SOP)

8. 1 Дархост/тағир додани дастрасӣ

1. Ариза ба IDM/ITSM бо мақсад ва мӯҳлат.
2. Ҳамин тавр, санҷиши худкори синфи/юрисдиксия/синфи маълумот.
3. Тасдиқи соҳиби домен + Амният/Мувофиқат (агар маҳдуд бошад +).
4. Барориши JIT/дастрасии доимӣ (маҷмӯи ҳадди аққал).
5. Воридшавӣ: кӣ/кай/чӣ дода мешавад; санаи таҷдиди назар.

8. 2 Тасдиқкунӣ

Ҳар семоҳа: соҳибон ҳуқуқи гурӯҳҳоро тасдиқ мекунанд; ҳуқуқҳои истифоданашудаи худкор (> 30/60 рӯз).

8. 3 Содироти маълумот

Танҳо тавассути қубурҳо/намоишҳои тасдиқшуда, мувофиқи рӯйхати сафед форматҳо (CSV/Parquet/JSON), ниқоби пешфарз, имзо/ҳаш, сабти зеркашӣ.

9) Сиёсати дастгоҳ ва контекст

MDM/EMM - Дастрасӣ маҳдуд/хеле маҳдуд танҳо аз дастгоҳҳои идорашаванда.
Сигналҳои контекстӣ: гео, сатҳи хавфи дастгоҳҳо, вақти рӯз, вазъи ВКХ, эътибори IP - ҳамчун хусусиятҳои ABAC.
Васеъгардонии браузер/сабти экран: назорат ва сабти ном, манъи консолҳои ҳассос.

10) Намунаҳои сиёсат (порчаҳо)

10. 1 YAML (псевдо) - ABAC барои таҳлилгари маркетинг

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 Маскани SQL (идея)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Мониторинг, гузоришҳо ва огоҳиҳо

Роҳҳои аудит: 'READ _ PII', 'EXPORT _ DATA', 'REL _ UPDATE', 'BREAK _ GLASS', 'PAYPER _ APPOVE'.
KRI: дастрасӣ бе 'мақсад' = 0; кӯшиши хеле маҳдуд дар берун аз тиреза; ҳиссаи чекҳои нокомшудаи So-D; партовҳои ғайримуқаррарӣ.
KPI:% дархостҳо бо JIT ≥ 80%; вақти миёнаи дастрасӣ ≤ 4 соат; 100% фарогирии такрории сертификатсия.
Китобҳои бозикунии SOAR: худкор ба ёд овардани таҳдидҳо, чиптаҳои тафтишот.

12) Мувофиқат (харитаи кӯтоҳ)

GDPR/UK GDPR: ҳадди ақал, донистан, мутобиқати DSAR, аудити PII.
AML/KYC: дастрасӣ ба CCM/санксияҳо - танҳо барои нақшҳои омӯхташуда, сабти қарорҳо.
PCI DSS (агар лозим бошад): сегрегатсияи минтақаи пардохт, манъи нигоҳдории PAN/CSC, калидҳои алоҳида/хостинг.
ISO/ISMS: сиёсати расмии дастрасӣ, аудити солона ва санҷишҳо.

13) PACI

Фаъолият	Мувофиқат/ҳуқуқӣ	DPO	Амният	SRE/IT	Маълумот/BI	Маҳсулот/Eng	Соҳибони домейн
Сиёсатҳо ва So-Ds	A/R	C	C	C	C	C	C
Модели RBAC/ABAC	C	C	A/R	Р	Р	Р	C
IDM/JIT/PAM	МАН	МАН	A/R	Р	МАН	C	МАН
Бозсозӣ	C	C	А.	Р	Р	Р	Р
Содирот/ниқоб	C	А.	Р	Р	Р	C	C

14) Нишондиҳандаҳои камолот

Фарогирии қоидаҳои ABAC маҷмӯаҳои интиқодӣ ≥ 95%.
Ҷаласаҳои JIT/ҳама баландӣ ≥ 90%.
Вақти бекоркунии offboard ≤ 15 дақиқа.
Ҳодисаҳои нақши 0 (So ≠ D).
100% сабтҳои дастрасӣ дастрас ва тасдиқ карда мешаванд (имзо/ҳаш).

15) Рӯйхати санҷишҳо

15. 1 Пеш аз додани дастрасӣ

Мақсад, сана ва соҳиби маълумот муайян карда шудааст
Пас аз ин/судҳо тасдиқ карда шуд
Ҳадди ақали миқёс/ниқоб фаъол аст
Шартҳои MFA/MDM/шабака мувофиқат карданд
Санаи воридшавӣ ва таҷдиди назар танзим карда шудааст

15. 2 Шарҳи семоҳа

Гурӯҳҳо ва нақшҳоро бо сохтори ташкилӣ оштӣ диҳед
Ҳуқуқҳои "овезон" -и худкор
Содироти ғайримуқаррарӣ ва шикастани шишаро санҷед
Огоҳиҳои омӯзишӣ ва санҷишӣ

16) Сенарияҳо ва чораҳои маъмулӣ

A) Нақши нав "Менеҷери VIP"

Дастрасӣ ба профилҳои VIP (ниқоб), манъи содирот, JIT барои тамошои яквақтаи KYC тавассути чипта.

B) Фурӯшандаи аудити BI

танҳо ба дӯконҳои бидуни PII хонед, рӯйхати муваққатии VPN +, сарфаи маҳаллиро манъ кунед, дафтарро зеркашӣ кунед.

C) дастрасии фаврӣ ба prod-DB

танаффус ≤ 30 дақиқа, ҷаласаи сабт, баррасии пас аз DPO/Compliance, CAPA барои қонунвайронкуниҳо.

17) Харитаи роҳсозӣ

Ҳафтаҳои 1-2: инвентаризатсияи маълумот/система, синфҳои маълумот, матритсаи асосии RBAC, So

Ҳафтаҳои 3-4: татбиқи ABAC (хусусиятҳои аввал: муҳити зист, гео, синфи маълумот), ҷараёнҳои IDM, JIT/break-glass, PAM.
Моҳи 2: пардохт ва сегментатсияи периметрии KYC, калидҳои алоҳида/KMS, маҷаллаҳои содиротӣ, огоҳиҳои SOAR.
Моҳи 3 +: сертификатсияи семоҳа, тамдиди атрибут (дастгоҳ/хатар), автоматизатсияи ниқоб, машқҳои муқаррарӣ.

TL; ДР

Модели боэътимоди дастрасӣ = Таснифоти маълумот → RBAC + ABAC → So Ин эҳтимолияти ихроҷ ва сӯиистифодаро коҳиш медиҳад, аудитро суръат мебахшад ва платформаро дар ҳудуди GDPR/AML/PCI ва стандартҳои дохилӣ нигоҳ медорад.

Сиёсатҳо ва сегментатсия

B) Фурӯшандаи аудити BI

C) дастрасии фаврӣ ба prod-DB

TL; ДР

Тамос гиред

Алоқаи зуд

Видео ба зудӣ нав карда мешавад

Мо ҳоло хеле машғули лоиҳаҳо ҳастем