Автоматикунонии мутобиқат ва ҳисобот

1) Чаро мутобиқатро автоматӣ мекунад

• Кам кардани хатогиҳои дастӣ ва хароҷоти мувофиқат.
• Шаффофият барои аудиторҳо: артефактҳои пайгиришуда, гузоришҳои бетағйир.
• Барои тағир додани қоидаҳо зуд мутобиқ шавед.
• Назорати дохилӣ дар SDLC ва амалиёт (аз чап ба чап + ба рост).

2) Луғат ва чаҳорчӯба

Назорат: чораҳои санҷидашавандаи кам кардани хатар (пешгирикунанда/детективӣ/ислоҳӣ).
Пойгоҳи далелҳо/далелҳо: гузоришҳо, гузоришҳо, партовҳои конфигуратсия, скриншотҳо, артефактҳои CI/CD.
Платформаи GRC: бақайдгирии хатарҳо, назорат, талабот, вазифаҳо ва аудит.
Мувофиқат-as-Code (CAC): сиёсатҳо/назоратҳо декларативӣ тавсиф карда мешаванд (YAML, Rego, OPA, Sentinel ва ғайра).
Регопҳо: иҷрои фаврии талабот бо SLO/огоҳиҳо, ҳамчун вазифаи алоҳида.

3) Харитаи назорат (матритсаи истинод)

4) Меъмории автоматика (истинод)

1. Манбаъҳои маълумот: пойгоҳи додаҳо/гузоришҳои истеҳсолӣ, DWH/datalake, системаҳои дастрасӣ, CI/CD, конфигуратсияҳои абрӣ, чиптаҳо, почта/чатҳо (бойгонӣ).

2. Ҷамъоварӣ ва нормализатсия: пайвасткунакҳо → автобуси ҳодиса (Кафка/Автобус) ва ETL/ELT дар намоишҳои мувофиқат.

3. Қоидаҳо ва сиёсатҳо (CAC): анбори анбори сиёсат (YAML/Rego), линтерҳо, баррасӣ, версия.

4. Муайянкунӣ ва оркестр: муҳаррики қоидаҳо (ҷараён/партия), SOAR/GRC барои вазифаҳо ва шиддат.

5. Ҳисоботдиҳӣ ва далелҳо: генераторҳои регформ, PDF/CSV, панели панелҳо, бойгонии WORM барои тағйирнопазир.

6. Интерфейсҳо: порталҳо барои ҳуқуқӣ/мувофиқат/аудит, API барои танзимгарон (дар ҷойҳои дастрас).

5) Маълумот ва ҷараёни ҳодисаҳо (мисол)

Идоракунии дастрасӣ: чорабиниҳои грант/бозхонд/тағир додани нақш → қоидаҳои имтиёзҳои иловагӣ → чиптаи барқароркунӣ → ҳисоботи ҳармоҳаи тасдиқкунӣ.
Нигоҳдорӣ/несткунӣ: Чорабиниҳои TTL/несткунӣ → назорат "ҳамоҳанг кардан бо сиёсат →" ҳушдор + бастан аз ҷониби Hold Legal.
Мониторинги AML: транзаксияҳо → муҳаррики қоида ва сегментатсияи ML → парвандаҳо (SAR) → боргузорӣ ба формати танзим.
Осебпазирӣ/конфигуратсияҳо: CI/CD → сканерҳо → "сиёсати сахткунӣ" → ҳисобот дар бораи бекоркунӣ бо мӯҳлати муқарраршуда.

6) Мутобиқат-ҳамчун-Кодекс: Чӣ гуна сиёсатҳоро тавсиф кардан мумкин аст

• Формати декларативӣ (policy-as-code) бо воридот/баромади возеҳ.
• Versioning + баррасии код (PR) + changelog бо таъсири гузоришдиҳӣ.
• Санҷишҳои сиёсати воҳид/амвол ва муҳити қуттии қуттӣ барои ретро.

yaml id: GDPR-Retention-001 title: "TTL for personal data - 24 months"
scope: ["db:users. pi", "s3://datalake/pi/"]
rule: "object. age_months <= 24          object. legal_hold == true"
evidence:
- query: retention_violations_last_24h. sql
- artifact: s3://evidence/retention/GDPR-Retention-001/dt={{ds}}
owners: ["DPO","DataPlatform"]
sla:
detect_minutes: 60 remediate_days: 7

7) Интегратсия ва системаҳо

GRC: бақайдгирии талабот, назорат, хатарҳо, соҳибон, вазифаҳо ва санҷишҳо.
IAM/IGA: каталоги нақшҳо, қоидаҳои SOD, маъракаҳои баррасии дастрасӣ.
CI/CD: плагинҳои дарвоза (дарвозаҳои сифат/мувофиқат), SAST/DAST/Санҷиши махфӣ, литсензияҳои OSS.
Амнияти абрӣ/IA: Санҷиши Terraform/Kubernetes барои риояи сиёсат.
DLP/EDRM: тамғакоғазҳои ҳассос, рамзгузории худкор, экфилтратсия нест.
SIEM/SOAR: таносуби ҳодисаҳо, назорати китобҳои вокуниш ба вайронкунӣ.
Платформаи маълумот: Намоиши "Мувофиқат", насл, каталоги маълумот, ниқоб.

8) Ҳисоботи танзимкунанда: ҳолатҳои маъмулӣ

GDPR: Феҳристи табобат (арт. 30), гузоришҳо дар бораи ҳодисаҳо (арт. 33/34), DSAR KPI (вақт/натиҷа).
AML: Ҳисоботи SAR/STR, агрегатҳои триггер, сабти парвандаҳо, далелҳои афзоиш.
PCI DSS: ҳисоботҳои сканкунӣ, сегментатсияи шабака, инвентаризатсияи системаҳо бо додаҳои корт, назорати калидҳо.
SOC 2: матритсаи назорат, сабти тасдиқ, скриншотҳо/гузоришҳои конфигуратсия, натиҷаҳои санҷиши назорат.

Форматҳо: CSV/XBRL/XML/PDF, дар бойгонии WORM имзо ва захира карда шудааст, бо хулосаи ҳаш.

9) Нишондиҳандаҳои мутобиқат ва SLO

Фарогирӣ: фоизи системаҳои дорои назорат фаъол аст.
MTTD/MTTR (назорат): вақти миёнаи муайянкунӣ/барқароркунӣ.
Меъёри мусбати бардурӯғ мувофиқи қоидаҳои детективӣ.
DSAR SLA:% саривақт баста мешавад; вақти посухи миёна.
Гигиенаи дастрасӣ:% ҳуқуқҳои кӯҳна; вақти бастани таркиби заҳролуд.
Дрифт: шумораи кашишҳо дар як моҳ.
Омодагии аудит: вақти ҷамъоварии далелҳо барои аудит (ҳадаф: соатҳо, на ҳафтаҳо).

10) Равандҳо (SOP) - аз мулоҳиза то амалия

1. Кашф ва харитасозӣ: харитаи маълумот/система, танқид, соҳибон, пайвастагиҳои танзимкунанда.
2. Сиёсати тарроҳӣ: ба расмият даровардани § талаботи policy-as-code § tests → reviews.
3. Амалисозӣ: ҷобаҷогузории қоидаҳо (саҳнасозӣ → prod), дохил кардан ба CI/CD ва автобуси ҳодиса.
4. Мониторинг: панели панелҳо, огоҳиҳо, ҳисоботи ҳарҳафтаина/моҳона, кумитаи назоратӣ.
5. Барқарорсозӣ: китобҳои бозикунии худкор + чиптаҳо бо мӯҳлатҳо ва RACI.
6. Далелҳо ва аудит: тасвири мунтазами артефактҳо; омодагӣ ба аудити беруна.
7. Тағирот: таҳрири сиёсат, муҳоҷират, ғайрифаъол кардани назорати кӯҳна.
8. Баҳодиҳӣ: баррасии семоҳа, танзими қоидаҳо ва SLO.

11) Нақшҳо ва RACI

12) Панели панелҳо (маҷмӯи ҳадди аққал)

Харитаи гармидиҳӣ: фарогирии назорат аз рӯи система/хати бизнес.
Маркази SLA: Мӯҳлати DSAR/AML/SOC 2/PCI DSS, қонуншиканиҳо.
Дастрасӣ ва асрори: нақшҳои "заҳролуд", сирри/шаҳодатномаҳои мӯҳлати гузашта.
Нигоҳдорӣ ва несткунӣ: Вайронкунии TTL, бо сабаби нигоҳдории ҳуқуқӣ ях мекунад.
Ҳодисаҳо ва бозёфтҳо: тамоюлҳои вайронкунӣ, такрорӣ, самаранокии барқарорсозӣ.

13) Рӯйхати санҷишҳо

Оғози барномаи автоматизатсия

• Феҳристи талабот ва хатарҳо, ки бо ҳуқуқӣ/мутобиқат мувофиқанд.
• Соҳибони назоратӣ ва ҷонибҳои манфиатдори таъиншуда (RACI).
• Пайвасткунакҳои маълумот ва мувофиқат танзим карда шудаанд.
• Сиёсатҳо ҳамчун рамз тавсиф карда мешаванд, ки бо санҷишҳо фаро гирифта шудаанд ва ба CI/CD илова карда шудаанд.
• Огоҳиҳо ва панели панелҳо танзим карда шудаанд, SLO/SLA муайян карда шудааст.
• Раванди аксбардории далелҳо ва бойгонии WORM тавсиф карда шудаанд.

Пеш аз аудити беруна

• Талаботи матритсаи назоратӣ нав карда шуд.
• Хушккунии ҷамъоварии далелҳо гузаронида шуд.
• Чиптаҳои барқароркунии мӯҳлатнок баста шуданд.
• Радкунӣ бо санаи ба охир расидани мӯҳлат нав карда шуд.

14) Намунаҳои артифакт

Ҳисоботи ҳарҳафтаинаи мутобиқат (сохтор)

1. Хулоса: хатарҳо/ҳодисаҳо/тамоюлҳои асосӣ.
2. Нишондиҳандаҳо: Фарогирӣ, MTTD/MTTR, DSAR SLA, Drift.
3. Қонунвайронкуниҳо ва ҳолати ислоҳӣ (аз ҷониби соҳибмулк).
4. Тағироти сиёсат (версияҳо, таъсир).
5. Нақша барои ҳафта: барқароркунии афзалиятнок, баррасии дастрасӣ.

Корти санҷишӣ (мисол)

Шиноса/Ном/Тавсиф

Стандарт (ҳо )/Хатарҳо

Тиб: Пешгирикунанда/Детектив/Ислоҳ

Доираи (системаҳо/додаҳо)

Сиёсат ҳамчун Кодекс (Пайванд/Версия)

Нишондиҳандаҳои таъсир (FPR/TPR)

Соҳиби/нусхаи эҳтиётӣ

Далелҳо (дар куҷо ва дар куҷо нигоҳ дошта мешаванд)

Истисноҳо (кӣ тасдиқ кардааст, пеш аз кай)

15) Антипаттернҳо

Мувофиқат дар Excel - санҷиш ва пайгирӣ нест.
Ҳисоботҳои дастӣ "дар бораи талабот" - пешгӯӣ ва пуррагӣ нестанд.
Нусхабардории нобиноёни талабот - бидуни арзёбии хатарҳо ва заминаи тиҷорат.
Монолит қоидаҳо - бидуни версия ва санҷишҳо.
Набудани фикру мулоҳизаҳои амалиётӣ - ченакҳо беҳтар намешаванд.

16) Модели камолот (M0-M4)

Дастури M0: таҷрибаҳои пароканда, панели панел нест.
Каталоги M1: талабот ва сабти системаҳо, ҳисоботҳои ҳадди аққал.
M2 Худкори Санҷиш: ҳодисаҳо/огоҳиҳо, сиёсати инфиродӣ ҳамчун рамз.
Оркестри M3: GRC + SOAR, гузоришҳои нақшакашӣ, 80% назорат аз рӯи код.
Кафолати муттасили M4: санҷишҳои пайваста дар SDLC/фурӯш, худкори далелҳо, аудиторҳои худидоракунӣ.

17) Амният ва махфият дар автоматизатсия

Кам кардани маълумот дар ҳолатҳои мувофиқат.
Дастрасии камтарин, сегментатсия.
Бойгонии далелҳои тағйирнопазир (WORM/Lock Object).
Рамзгузории маълумот ва интизоми калидӣ (KMS/HSM).
Воридшавӣ ва мониторинги дастрасӣ ба гузоришҳо ва артефактҳо.

18) Мақолаҳои марбут ба вики

Махфият аз рӯи тарроҳӣ ва кам кардани маълумот

Нигоҳдории ҳуқуқӣ ва яхкунӣ

Ҷадвалҳои нигоҳдорӣ ва нест кардани маълумот

DSAR: дархостҳои корбар барои маълумот

PCI DSS/SOC 2 Назорат ва сертификатсия

Идоракунии ҳодисаҳо ва криминалистика

Ҷамъ

Автоматикунонии мутобиқат муҳандисии системаҳо мебошад: сиёсатҳо ҳамчун рамз, мушоҳида, оркестр ва пойгоҳи далелҳо. Муваффақият тавассути фарогирии назорат, сатҳи аксуламал, сифати гузориш ва омодагии аудити тугма чен карда мешавад.