Принсипи ҳуқуқҳои ҳадди ақали талабшаванда
1) Мақсад ва таъриф
Мақсад: иҷозат додани корбар/хидмат танҳо ба он захираҳое, ки барои иҷрои вазифаи мушаххас ба таври қатъӣ заруранд, дар давраи ҳадди аққали кофӣ ва дар ҳаҷми ҳадди аққал.
Таъриф: "ҳадди аққал дар паҳнӣ (захираҳо), амиқ (амалиёт), вақт (TTL), контекст (гео/дастгоҳ/гузариш), ҳассосият (PII/молия)".
2) Принсипҳои асосии татбиқ
1. Зарурати донистан: ҳар як ҳуқуқ бо мақсади муайян (асос) алоқаманд аст.
2. Мӯҳлати вақт: ҳуқуқҳои баландкардашуда, ки бо TTL (JIT) дода шудаанд; ҳуқуқҳои доимӣ - танҳо хондан/ниқоб кардан.
3. Ҳудуди маҳдуд: дастрасӣ бо иҷора/минтақа/бренд/лоиҳа (доираи иҷорагир/минтақа) маҳдуд аст.
4. Кам кардани маълумот: PII бо нобаёнӣ ниқоб карда мешавад; ниқоб - танҳо дар заминаи возеҳ.
5. Пайгирӣ: ҳама гуна дастрасӣ → + 'мақсад '/' chicket _ id' журнал.
6. Бозхонд: фикру мулоҳизаҳои зуд (оффшорӣ ≤ 15 дақиқа, JIT - фикру мулоҳизаҳои автоматӣ).
3) Иртибот бо дигар назоратҳо
RBAC: муқаррар менамояд, ки кӣ метавонад (нақши асосӣ).
ABAC: дар кадом шароит муайян карда мешавад (гео, дастгоҳ/MDM, вақт, сатҳи KYC, хатар).
Пас: омезиши хатарноки нақшро манъ мекунад, барои амалҳои ҳассос 4 чашм талаб мекунад.
Сегментатсия: периметри шабакавӣ/мантиқӣ (пардохт, KYC, DWH, асрори).
PAM/JIT/break-glass: додани имтиёзҳои муваққатӣ ва сабти онҳо.
4) Таснифи захираҳо ва амалиётҳо
Амалиётҳо: 'READ', 'MASKED _ READ' (пешфарз барои PII), 'WRITE' (миқёс), 'APPROVE _' (4 чашм),' EXPORT '(танҳо тавассути дӯконҳо, имзо/маҷалла).
5) Муҳандисии ҳуқуқ барои дастрасӣ ба вазифа
1. Ҳикояи корбар → Мақсад: "Таҳлилгар бояд гузориши табдили ИА-ро бидуни PII таҳия кунад".
2. Рӯйхати захираҳо: намоиши 'agg _ conversions _ eu'.
3. Амалиётҳо: 'READ' (бе PII), манъи 'EXPORT _ RAW'.
4. Контексти ABAC: соатҳои корӣ, корпуси VPN/MDM, минтақа = ИА.
5. TTL: доимии ниқоб-хондан; JIT барои як маротиба ҷудо кардан (агар лозим бошад).
6. Сабтҳо: 'READ '/' EXPORT' бо 'мақсад' ва 'fields _ scope'.
6) Ниқоб ва ҷудошавии интихобӣ
Маскани почтаи электронӣ/телефон/IBAN/PAN бо нобаёнӣ;
Дастрасии номуайян ('pii _ unmask') - танҳо JIT + 'мақсад' + тасдиқи соҳиби домен/мувофиқат;
Дар гузоришҳо - агрегатҳо/к-беном, манъи "намунаҳои хурд" (ҳадди махфият).
7) Имтиёзҳои муваққатӣ: JIT ва шикастани шиша
JIT: 15-120 дақиқа, чипта, худкор, аудити пурра.
Танаффус: дастрасии фавқулодда (MFA + тасдиқи дуюм, сабти сессия, пас аз баррасии Амният + DPO).
PAM: махфии бехатар, прокси сессия, гардиши имтиёз.
8) Равандҳо (SOP)
8. 1 Гранти дастрасӣ (IDM/ITSM)
1. Даъво бо 'мақсад', захираҳо, TTL/суботкорӣ.
2. Ҳамин тавр/юрисдиксия/синфи маълумот/санҷиши худкори контекст.
3. Тасдиқи соҳиби домен; для Маҳдудият + - Амният/Мувофиқат.
4. Додани доираи ҳадди аққал (аксар вақт ниқоб хонда мешавад).
5. Дохилшавӣ ба феҳристи ҳуқуқҳо: санаи таҷдиди назар, бозхонди SLA.
8. 2 Сертификатсияи такрорӣ (семоҳа)
Соҳиби домен ҳар як нақш/гурӯҳро тасдиқ мекунад; ҳуқуқҳои истифоданашуда (> 30/60 рӯз) - автоматӣ.
8. 3 Содироти маълумот
Танҳо тавассути дӯконҳои тасдиқшуда; формати сафедпӯстон; имзо/хэш; Пурбор кардани сабти PII - бо нобаёнӣ.
9) Назорати фурӯшанда/зер-протсессор
Андозаи ҳадди аққали API, калидҳои инфиродӣ барои ҳамгироӣ, IP-рӯйхати иҷозат, тирезаҳои вақт.
DPA/SLA: нақшҳо, гузоришҳои дастрасӣ, нигоҳдорӣ, ҷуғрофия, ҳодисаҳо, зерсохторҳо.
Offboard: бозхонди калидӣ, тасдиқи несткунӣ, санади пӯшида.
10) Аудит ва мониторинг
Журналы: 'REL _ ASSIGN/REVOKE', 'JIT _ GRANT', 'READ _ PII', 'EXPORT _ DATA', 'PAYMENT _ APPOVE', 'BREAIN _ GLASS ASS ".
SIEM/SOAR: огоҳиҳои дастрасӣ бидуни 'ҳадаф', ҳаҷми ғайримуқаррарӣ, вақт/гео, вайронкунии So
WORM: нусхаи тағирнашудаи гузоришҳо + занҷири ҳаш/имзо.
11) Нишондиҳандаҳои камолот (KPI/KRI)
Фарогирӣ:% системаҳои интиқодӣ барои RBAC/ABAC ≥ 95%.
Таносуби хондани ниқоб: ≥ 95% зангҳо ба PII ниқоб доранд.
Меъёри JIT: ≥ 80% баландӣ JIT мебошанд.
Offboard TTR: бекор кардани ҳуқуқҳо ≤ 15 дақиқа.
Содирот ба имзо расид: 100% содирот имзо ва сабт шудааст.
Қоидавайронкуниҳо: = 0; кӯшишҳо - худкор блок/чипта.
Тозакунии дастрасии бефоида: ≥ 98% ҳуқуқи овезон дар давоми 24 соат нест карда мешавад.
12) Сенарияҳои маъмулӣ
A) Намоиши яквақтаи KYC барои муштарии VIP
Асосӣ: дар менеҷери VIP ниқоб хонда мешавад.
Амал: дастрасии JIT 'pii _ unmask' for 30 дақиқа дар чипта, сабти саҳро/сабти экран, пас аз баррасӣ.
B) Муҳандис ба prod-DB дастрасӣ дорад
Танҳо пас аз PAM + JIT ≤ 60 дақиқа, ҷаласаи сабтшуда, манъ кардани 'SELECT' аз ҷониби PII, пас аз баррасӣ ва CAPA барои қонуншиканиҳо.
C) Ҳисоботи BI аз ҷониби кишвар
Дастрасӣ ба воҳидҳо бидуни PII; Филтри ABAC: 'минтақа дар [EEA]', corp VPN/MDM, вақт 08: 00-21: 00.
13) Анти-намунаҳо ва чӣ гуна аз онҳо канорагирӣ кардан
"Нақшҳои супер "/мерос бидуни марз → тақсим ба нақшҳои домейн, ABAC-ро дар бар мегирад.
Имтиёзҳои доимӣ "танҳо дар ҳолати" → JIT + худкор.
Нусхабардории маълумотҳои prod ба dev/stage → alizing/synthetics.
Содироти PII берун аз дӯконҳо → сафедкунӣ, имзо, маҷалла, ниқоб.
Набудани 'мақсад' → блоки сахт ва чиптаи худкор.
14) RACI (васеъшуда)
15) Рӯйхати санҷишҳо
15. 1 Пеш аз додани дастрасӣ
- Муайяншудаи 'purpose' ва TTL
- Пас аз ин/судҳо тасдиқ карда шуд
- Ниқоби пешфарз, доираи минималӣ
- Шартҳои ABAC Шабака/Дастгоҳ/Вақт/Минтақа
- Санаи воридшавӣ ва таҷдиди назар танзим карда шудааст
15. 2 Ҳар семоҳа
- Таҷдиди нақшҳо/гурӯҳҳо, ҳуқуқҳои худкори "овезон"
- Содироти ғайримуқаррарӣ ва шикастани шишаро санҷед
- Омӯзиши тасдиқшудаи махфият/амният
16) Харитаи роҳсозӣ
Ҳафтаҳои 1-2: инвентаризатсияи маълумот/система, таснифот, матритсаи нақши асосӣ, ки ниқоби пешфарзро фароҳам меорад.
Ҳафтаҳои 3-4: ABAC (Чоршанбе/гео/MDM/вақт), JIT ва PAM, сафедпӯстон содирот, гузоришҳои 'мақсад'
Моҳи 2: автоматизатсияи оффшорӣ, огоҳиҳои SOAR (бидуни 'ҳадаф '/аномалия), сертификатсияи семоҳа.
Моҳи 3 +: тамдиди атрибутҳо (хатари сатҳи CUS/дастгоҳ), ҳадди махфият, машқҳои муқаррарии планшет.
TL; ДР
Имтиёзи камтарин = доираи ҳадди аққал + ниқоби PII + контексти ABAC + JIT/PAM + аудити сахт ва бозхонди зуд. Дастрасиро идора мекунад, хатари ихроҷ/қаллобиро коҳиш медиҳад ва аудитро суръат мебахшад.