KPI we laýyklyk metrikleri
1) Näme üçin laýyklyk metrikasy
Metrikler talaplary we töwekgelçilikleri dolandyrylýan maksatlara geçirýär. Gowy KPI/KRI ulgamy:- laýyklyk ýagdaýyny aç-açan we wagt bilen deňeşdirip bolýar;
- komplayensiň işini iş netijesi bilen baglanyşdyrýar (ýitgileriň/jerimeleriň/goýberişleriň gijikdirilmeginiň azalmagy);
- duýgulara däl-de, faktlara görä ileri tutulýan ugurlary we çeşmeleri dolandyrmaga mümkinçilik berýär;
- barlagy ýönekeýleşdirýär: yzarlanylýan formulalar, çeşmeler we üýtgemeýän artefaktlar bar (evidence).
- KPI - ýerine ýetiriş görkezijileri (prosesleriň netijeliligi).
- KRI - töwekgelçilik görkezijileri (hadysalaryň ähtimallygy/täsiri).
- SLO/SLA - möhletler boýunça hyzmatyň/borçnamalaryň maksatly derejeleri.
- Leading vs Lagging: garaşýan (leading) we gijä galýan (lagging) görkezijiler.
2) Domenler boýunça metrikler kartasy (referens-matrisa)
3) "Demirgazyk ýyldyzlar" (North Star)
1. N sagatda audit-ready (ähli evidence awtomatiki ýygnalýar).
2. Zero Critical Violations.
3. Awtomatlaşdyrylan gözegçilikler (policy-as-code + CCM) arkaly 90% ≥.
4) Metrikleriň taksonomiýasy
4. 1 Coverage (örtük)
Control Coverage: gözegçilik ulgamlary/ähli möhüm ulgamlar.
"Evidence Coverage": artefaktlar ýygnaldy/barlag sanawy boýunça.
Policy Adoption: talaplar girizilen prosesler/ähli maksatly prosesler.
4. 2 Effectiveness (gözegçilikleriň netijeliligi)
Gözegçilik synaglarynyň Pass Rate: synaglaryň jemi/geçdi.
FPR/TPR (ýalan/hakyky) detektiv düzgünleri üçin.
Incidents Prevented: öňüni alyş gözegçilikleri bilen öňüni alnan ýagdaýlar.
4. 3 Efficiency (çykdajylar/tizlik)
MTTD/MTTR düzgün bozmalar: anyklamak/ýok etmek üçin wagt.
Cost per Case (AML/DSAR): sagat × nyrh + infrastruktura çykdajylary.
Awtomation Ratio: awto-çözgütler/ähli çözgütler.
4. 4 Timeliness (möhletler)
SLA (DSAR/STR/okuw): wagtynda/jemi.
Lead Time syýasatçysy: triggerden neşirine çenli.
"Change Lead Time" (DevSecOps-geýtlar): PR-den başlap, gabat barlanylanda çykarylýança.
4. 5 Quality (Maglumatlaryň/prosesleriň hili)
Evidence Integrity: WORM-daky artefaktlaryň% -i.
Data Defects: hasabat/hasabatlardaky ýalňyşlyklar.
Training Score: ortaça synag baly, ilkinji gezek%.
4. 6 Risk Impact (töwekgelçilige täsiri)
Risk Reduction Index: remediasiýadan soň jemi töwekgelçilik-skor ∆.
Regulatory Exposure: açyk kritiki gaplar vs ygtyýarnamalaryň/şahadatnamalaryň talaplary.
$ Avoided Losses (takmynan): gaplaryň ýapylmagy bilen öňüni alýan jerimeler/ýitgiler.
5) Hasaplamalaryň formulalary we mysallary
5. 1 DSAR SLA
'DSAR _ SLA = (ýapyk ≤ arzalarynyň sany 30 gün )/( ähli arzalaryň sany)'
Maksat: ≥ 98%; gyzyl zona <95%, sary 95-97. 9.
5. 2 Access Hygiene
'AH = köne _ hukuklar (eýesi ýok/möhleti geçdi )/ähli _ hukuklar'
Bosagasy: ≤ 2% (gyzyl zona> 5%).
5. 3 Drift Rate (IaC/Cloud)
'DR = driftler (IaC hakykat )/aý'
Trend: yzygiderli pese gaçmak 3 aý.
5. 4 Time-to-Remediate (по severity)
High: mediýa ≤ 30 gün; Critical: ≤ 7 gün. Gijikdirme → awto-eskalasiýa.
5. 5 AML FPR
'FPR = ýalan oňyn _ alertler/hemme _ alertler'
TPR we gaýtadan işlemek üçin ýitgiler bilen deňagramlylyk.
5. 6 Evidence Coverage (audit)
'EC = ýygnalan _ artefaktlar/hökmany _ çek-sahypa boýunça'
Maksat: Auditiň D-senesine 100%; amal maksady - ≥ 95% hemişelik.
6) Maglumatlaryň we subutnamalaryň çeşmeleri (evidence)
Compliance DWH penjiresi: DSAR, Legal Hold, TTL, audit-loglar, alertler.
IAM/IGA: rollar, eýeler, attestasiýa kampaniýalary.
CI/CD/DevSecOps: SAST/DAST/SCA, sır-skan, ygtyýarnama, geýt.
Cloud/IaC: konfigurasiýalaryň snapshotlary, drift-reports, KMS/HSM-logs.
SIEM/SOAR/DLP/EDRM: baglanyşyklar, pleýbuklar, blokirlemeler.
GRC: talaplaryň, gözegçilikleriň, waivers we auditleriň sanawy.
WORM/Object Lock: artefaktlaryň üýtgemeýän arhiwi + heş-habarlar.
7) Daşbordlar (iň az toplum)
1. Compliance Heatmap - ulgamlar × standartlar × status.
2. SLA Center - DSAR/STR/okuw: möhletler, gijikdirmeler, çaklamalar.
3. Access & SoD - zäherli rollar, orphan hasaplary, attestasiýalaryň ösüşi.
4. Retention & Deletion - TTL-düzgün bozmalar, Legal Hold blokirlemeleri, tendensiýalar.
5. Infra/Cloud Drift - IaC laýyk gelmezlik, şifrlemek, bölmek.
6. Findings Pipeline - eýeleri we söýerity boýunça açyk/möhleti geçen/ýapyk.
7. Audit Readiness - evidence örtügi we taýýar bolýança "düwme boýunça" wagt.
- Greenaşyl - maksada ýetildi/durnukly.
- Sary - gyşarmak töwekgelçiligi, meýilnama talap edilýär.
- Gyzyl - möhüm gyşarma, derrew güýçlenmek.
8) OKR-baglanyşyk (çärýegiň mysaly)
Objective: Relizleri haýallatmazdan kadalaşdyryjy we amal töwekgelçiligini azaltmak.
KR1: Awtomatlaşdyrylan gözegçilikleri 72% → 88% -den köpeltmek.
KR2: 4 bilen Access Hygiene azaltmak. 5% → ≤ 2%.
KR3: 99% DSAR wagtynda; mediýa jogap ≤ 10 gün.
KR4: Drift Rate bulutlar − 40% QoQ.
KR5: Time-to-Audit-Ready ≤ 8 sagat (dry-run).
9) Metrler üçin RACI
10) Ölçegleriň ýygylygy we tertibi
Her gün: CCM aladalary, süýşmeler, syrlar, möhüm wakalar.
Her hepde: SLA DSAR/STR, DevSecOps geýtleri, Access Hygiene.
Aýda: pass rate gözegçilik, gaýtalanýan findings, Evidence Coverage.
Çärýekde: OKR-gysgaça maglumat, Risk Reduction Index, audit-repetisiýa (dry-run).
Çäklere täzeden garamagyň tertibi: tendensiýalary, çykdajylary we töwekgelçiligi seljermek; bosagalary üýtgetmek - Board arkaly.
11) Metrikleriň hili: düzgünler
Bir semantika: terminleriň we SQL şablonlarynyň sözlügi.
Formulalaryň wersiýasy: "metrika kod hökmünde" (ammar + revyu).
Repertuarlygy barlamak: auditorlar üçin skriptlar.
Artefaktlaryň immuniteti: WORM + heş zynjyrlary.
Gizlinlik: KPI penjirelerine girişi minimallaşdyrmak, gizlemek, gözegçilik etmek.
12) Soraglaryň mysallary (SQL/psevdo)
12. 1 DSAR SLA (30 gün):
sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;12. 2 Access Hygiene:
sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;12. 3 Drift (Terraform vs hakykat):
sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');13) Çäk gymmatlyklary (salgylanma mysallary, uýgunlaşdyryň)
14) Antipatternler
Eýesiz we hereket meýilnamasyz "hasabat üçin" metrikler.
Formulalaryň wersiýalaryny garyşdyrmak → tendensiýalaryň deňeşdirilmezligi.
Netijesiz gurşaw: ýokary örtük, ýöne ýokary drift we gaýtalanýan yzlar.
AML/CCM-de ýalan täsirleriň (FPR) bahasy.
Töwekgelçilik konteksti bolmadyk metrikler (KRI we ygtyýarnamalar bilen baglanyşyk ýok).
15) Çek-listler
KPI ulgamyny başlamak
- Metrika sözlügi we "metrika kod hökmünde" ýeke-täk ammar.
- Eýeleri (RACI) we täzelenme ýygylygy bellendi.
- Çeşmeler we "Compliance" penjiresi birikdirildi.
- Dashbordlar we reňk zolaklary, SLO/SLA we eskalasiýa sazlandy.
- WORM arhiwi we hasabatlaryň heş düzedilmegi.
- Gaýtadan gözden geçirmek üçin dry-run.
Çärýek hasabatyndan öň
- Formulalary barlamak, anomaliýalara gözegçilik etmek.
- Düzgünleşdiriji çäkleri täzelemek.
- cost/benefit FPR vs TPR derňewi.
- "Gyzyl" zolaklar boýunça gowulaşmalar meýilnamasy.
16) Metrikanyň kämillik modeli (M0-M4)
M0 El bilen hasaba almak: Excel-tablisalar, tertipsiz hasabatlar.
M1 Katalog: ýekeje vitrin, esasy SLA we tendensiýalar.
M2 Awtomatlaşdyrylan: hakyky wagtda daşbordlar, eskalasiýa.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, reformalar.
M4 Continuous Assurance: "düwme boýunça audit-ready", töwekgelçiligiň çaklama (ML) metrikleri.
17) Baglanyşykly wiki maddalary
Yzygiderli laýyklyk gözegçiligi (CCM)
Komplayensiň we hasabatlylygyň awtomatlaşdyrylmagy
Töwekgelçilige gönükdirilen audit
Syýasatlaryň we proseduralaryň durmuş sikli
Kanuny Hold we maglumatlary doňdurmak
DSAR: Ulanyjylaryň maglumat soraglary
Maglumatlary saklamak we aýyrmak grafikleri
Jemi
Güýçli KPI-ler düşnükli formulalar, ygtybarly çeşmeler, eýeler we bosagalar, awtomatlaşdyrylan vitrin we gyşarmalar boýunça hereketlerdir. Şeýlelik bilen, laýyklyk töwekgelçilige we işewürligiň tizligine ölçelip boljak täsir edýän öňünden aýdyp boljak hyzmata öwrülýär.