Giriş syýasaty we segmentasiýa

1) Maksady we ýörelgeleri

Maksat: audit üçin subut edilip bilinjek "kimiň, nämä we näme üçin elýeterli" berk gözegçilik arkaly syzmak/galplyk töwekgelçiligini we kadalaşdyryjy netijeleri azaltmak.
Ýörelgeler: Least Privilege (iň az hukuk), Need-to-Know, Zero Trust, Segregation of Duties (SoD), Just-in-Time (JIT), bir gezek basylanda yzarlanmak we yzyna çagyrmak.

2) Maglumatlaryň klassifikasiýasy we gorag derejeleri

3) Giriş modeli: RBAC + ABAC

RBAC (rollar): esasy matrisa "roly → çözgüdi".
ABAC (atributlar): kontekstli düzgünler (oýunçynyň/operatoryň ýurisdiksiýasy, gurşaw segmenti, toplumyň duýgurlygy, çalşygy/wagty, enjamy, KYC barlagynyň derejesi, hyzmat wezipesi/purpose).

• Marketing-analitik "events _" tablisalaryny diňe analitika razy bolan ýurtlar üçin diňe dynç günleri 08: 00-21: 00, diňe korporatiw ulgamdan/MDM-enjamdan, PII meýdançasyz okap biler.

4) SoD - borçlaryň bölünmegi (antifrod we gabat gelmek)

5) JIT, break-glass и PAM

JIT (Just-in-Time): ýokary hukuklar belli bir wezipe üçin çäkli aralyga (15-120 minut) berilýär we awtomatiki usulda yzyna alynýar.
Break-glass: aýratyn prosedura arkaly gyssagly giriş (MFA + ikinji tassyklama + purpose hökmany görkezme), sessiýanyň doly ýazgysy we faktumdan soňky gykylyk.
PAM: administratiw hasaplar üçin - parol ammarlary, özüni alyp barşyň seljermesi, açarlaryň/syrlaryň aýlanmagy, ýazgyly sessiýa proksi.

6) Segmentasiýa: orta, tor we logiki

6. 1 Çarşenbe: 'prod' ≠ 'stage' ≠ 'dev'. Prod-maglumatlar stage/dev-a göçürilmeýär; sintetiki ýa-da lakamlaşdyrylan toplumlar ulanylýar.

• Edge/WAF/CDN → App-zona → Data-zona (DWH/DB) → Secrets/KMS.
• Töleg perimetri (PSP/kartlar) umumy proddan izolirlenen; KUS/sanksiýalar - aýratyn segment.
• 6. 3 Logiki segmentasiýa: atlar giňişligi (K8s), tenant-IDs, DB/maglumatlar katalogynyň shemalary, aýry-aýry şifrlemek açarlary per tenant/sebit.
• 6. 4 Geo-segmentasiýa: ýerleşýän ýerine görä saklamak/gaýtadan işlemek (EC/UK/...); gidleri we açarlary sebit boýunça ugrukdyrmak.

7) Wendorlaryň we hyzmatdaşlaryň elýeterliligi

Mehanika: aýry-aýry B2B-tenantlar/hasaplar, iň az API, mTLS, allow-list IP, wagt-penjireler.
Şertnamalar: DPA/SLA (žurnallar, saklanyş möhletleri, geografiýa, hadysalar, subprosessorlar).
Offbording: açarlary yzyna almak, aýyrmagy tassyklamak, ýapylyş hereketi.
Gözegçilik: adaty bolmadyk mukdarda alertler, köpçülikleýin eksportlara gadaganlyk.

8) Prosesler (SOP)

8. 1 Elýeterliligi soramak/üýtgetmek

1. IDM/ITSM-e purpose we möhlet bilen ýüztutma.
2. SoD/ýurisdiksiýa/maglumat synpyny awtoprewerlemek.
3. Domen eýesiniň tassyklamasy + Security/Compliance (Restricted + bolsa).
4. JIT/hemişelik elýeterliligi bermek (iň az toplum).
5. Žurnallaşdyrmak: kim/haçan/näme berildi; gaýtadan seredilen senesi.

8. 2 Döwürleýin gözden geçirmek (recertification)

Çärýekde: eýeler toparlaryň hukuklaryny tassyklaýarlar; ulanylmaýan hukuklary awtomatiki yzyna almak (> 30/60 gün).

8. 3 Maglumatlary eksport etmek

Diňe tassyklanan paýlaýnlar/penjireler arkaly, ak format sanawlary boýunça (CSV/Parquet/JSON), adaty maskalanma, gol/heş, düşüriş journalurnaly.

9) Enjamlaryň syýasaty we mazmuny

MDM/EMM: Restricted/Highly Restricted diňe dolandyrylýan enjamlardan elýeterlidir.
Kontekst signallary: geo, töwekgelçilik-skor enjamy, günüň wagty, MFA ýagdaýy, IP abraýy - ABAC atributlary hökmünde.
Brauzer giňeltmek/ekran tutmak: gözegçilik we magazine, duýgur konsollar üçin gadaganlyk.

10) Syýasatçylaryň mysallary (bölekler)

10. 1 YAML (psevdo) - Marketing analitigi üçin ABAC

yaml policy: read_analytics_no_pii subject: role:marketing_analyst resource: dataset:events_
condition:
consent: analytics == true data_class: not in [Restricted, HighlyRestricted]
network: in [corp_vpn, office_mdm]
time: between 08:00-21:00 workdays effect: allow masking: default logging: audit_access + fields_scope

10. 2 SQL maskasy (ideýa)

sql
SELECT user_id_hash,
CASE WHEN has_priv('pii_read') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

11) Gözegçilik, žurnallar we alertler

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `BREAK_GLASS`, `PAYMENT_APPROVE`.
KRIs: 'purpose' = 0; penjireden daşarda Highly Restricted synanyşyklary; şowsuz SoD barlaglarynyň paýy; anomal düşürmeler.
KPI: JIT soraglarynyň% -i ≥ 80%; elýeterliligi bermegiň ortaça wagty ≤ 4 sagat; 100% gaýtadan sertifikatlaşdyrmak bilen ýapmak.
SOAR-pleýbuklar: howp abananda awto-seslenme, derňew üçin biletler.

12) Talaplara laýyk gelmek (gysga kartoçka)

GDPR/UK GDPR: minimallaşdyrmak, Need-to-Know, DSAR-gabat gelmek, PII audit.
AML/KYC: KUS/sanksiýalara girmek - diňe tälim berlen rollar üçin, çözgütler magazineurnaly.
PCI DSS (mümkin bolsa): töleg zolagyny bölmek, PAN/CSC saklamagy gadagan etmek, aýry-aýry açarlar/hosting.
ISO/ISMS: resmileşdirilen giriş syýasaty, ýyllyk auditler we synaglar.

13) PACI

14) Kämillik ölçegleri

ABAC-kritiki maglumat toplumlaryny ýapmak ≥ 95%.
JIT sessiýalary/Ähli hukuklaryň ýokarlandyrylmagy ≥ 90%.
Offboarding boýunça girişi yzyna almagyň wagty ≤ 15 minut.
0 hadysalar "rol ≠ funksiýa" (SoD).
Giriş magazinesurnallarynyň 100% -i elýeterlidir we tassyklanýar (gol/heş).

15) Çek-listler

15. 1 Giriş berilmezden öň

• purpose, möhlet we maglumat eýesi kesgitlenildi
• SoD/ýurisdiksiýa barlagy geçdi
• Iň az satyn almak/gizlemek goşuldy
• MFA/MDM/Tor şertleri berjaý edildi
• Magazineurnallaşdyrmak we gözden geçirmek senesi sazlandy

15. 2 Çärýek gözden geçirmek

• Toparlaryň we rollaryň guramaçylyk gurluşy bilen deňeşdirilmegi
• "Asylan" hukuklary awtomatiki yzyna almak
• Anomal eksporty we break-glass barlagy
• Okuw we synag aladalary

16) Nusgawy ssenariýalar we çäreler

A) "VIP-dolandyryjy" täze roly

VIP profillerine girmek (gizlenen), eksport gadaganlygy, bilet arkaly bir gezeklik KYC tomaşa etmek üçin JIT.

B) Wendor-audit BI

PII-siz vitrinlere, wagtlaýyn VPN + allow-list, ýerli saklamagy gadagan etmek, düşüriş magazineurnaly.

C) DevOps prod-DB-e gyssagly giriş

break-glass ≤ 30 min, sessiýanyň ýazgysy, düzgün bozmalar ýüze çykan halatynda DPO/Compliance, CAPA bilen post-revew.

17) Durmuşa geçirmegiň ýol kartasy

Hepdeler 1-2: maglumatlaryň/ulgamlaryň inventarizasiýasy, maglumatlaryň synplary, esasy RBAC-matrisa, SoD.
Hepdeler 3-4: ABAC (ilkinji atributlar: gurşaw, geo, maglumat synpy), IDM akymlary, JIT/break-glass, PAM giriziň.
2-nji aý: töleg we KYC-perimetr segmentasiýasy, aýry-aýry açarlar/KMS, eksport žurnallary, SOAR-alertler.
3-nji aý: çärýekleýin gaýtadan sertifikatlaşdyrmak, atributlary giňeltmek (enjam/töwekgelçilik), maskalanmagy awtomatlaşdyrmak, yzygiderli maşklar.

TL; DR

Ygtybarly giriş modeli = maglumatlaryň klassifikasiýasy → RBAC + ABAC → SoD + JIT/PAM → gaty segmentasiýa → magazinesurnallar we alertler. Bu syzmak we hyýanatçylykly peýdalanmak ähtimallygyny peseldýär, auditi çaltlaşdyrýar we platformany GDPR/AML/PCI we içerki standartlaryň çäginde saklaýar.