Borçlaryň bölünmegi we elýeterlilik derejeleri

1) Maksatlar we ýörelgeler

• möhüm amallara (pul/PII/complayens) ýeke-täk gözegçiligi aradan aýyrmak,
• galplyk/ýalňyşlyk töwekgelçiligini azaltmak,
• düzgünleşdirijiler we içerki auditler üçin barlanylmagyny üpjün etmek.

Ýörelgeler: Zero Trust· Least Privilege· Need-to-Know· SoD (4-eyes)· Traceability· Revocability (çalt yzyna çagyryş).

2) Maglumatlaryň klassifikasiýasy we elýeterlilik derejeleri

3) Hukuk modeli: RBAC + ABAC

RBAC: domen rollary (Support, VIP, Payments, AML, KYC, FRM, BI, DevOps, DPO, Legal).
ABAC: kontekstli atributlar (gurşaw, geografiýa, maglumat synpy, enjam/MDM, wagt, KYC derejesi, giriş maksady 'purpose', enjam töwekgelçiligi).

ABAC şertleriniň mysaly: BI analitigi "events _" diňe PII-siz, diňe korporatiw ulgamdan/MDM-den, iş günlerinde 08: 00-21: 00, işjeň gizlinlik boýunça okuw bar bolsa okap biler.

4) SoD - gabat gelmeýän funksiýalaryň matrisa

5) Giriş derejeleri we görnüşleri

Read-only/Masked Read: BI/Support üçin standart.
"Scoped Write": hyzmatyň/düzgüniň çägindäki üýtgeşmeler (mysal üçin, iş boýunça bellikleri girizmek).
Privileged Admin: diňe PAM arkaly (parol seýfi, sessiýa proksi, sessiýanyň ýazgysy, syrlaryň aýlanmagy).
API/Service Accounts: minimal toplar, aýry-aýry açarlar per integrasiýa, mTLS.

6) JIT и break-glass

JIT (Just-in-Time): belli bir bilet üçin hukuklaryň wagtlaýyn ýokarlanmagy (15-120 minut), awtomatiki jogap, hökmany 'purpose'.
Break-glass: MFA + ikinji tassyklama bilen gyssagly giriş, sessiýanyň ýazgysy, Security + DPO post-review, düzgün bozmalar ýüze çykan halatynda hadysanyň awtoulag gurluşy.

7) Prosesler (SOP)

7. 1 Giriş soragy/üýtgemegi (IDM/ITSM)

1. Haýyşnama 'purpose', möhlet we maglumatlaryň eýesi bilen.
2. SoD/maglumat synpyny/ýurisdiksiýany awtoprewerlemek.
3. Domen eýesini tassyklamak + Howpsuzlyk (Restricted + üçin).
4. JIT/hemişelik elýeterliligi bermek (iň az satyn almak).
5. Hukuklaryň sanawyna ýazgy (täzeden seredilen senesi, SLA yzyna çagyryş).

7. 2 Hukuklary gaýtadan sertifikatlaşdyrmak

Eýeler toparlaryň/ulanyjylaryň hukuklaryny çärýekde tassyklaýarlar.
Ulanylmaýan hukuklary awtomatiki yzyna almak (> 30/60 gün).

7. 3 Maglumatlary eksport etmek

Diňe tassyklanan penjireler/paýlaýjylar arkaly; gizlemek; adresatlaryň/formatlaryň ak sanawlary; gol/heş; düşüriş žurnaly.

8) Wendorlara/hyzmatdaşlara gözegçilik

Aýry-aýry B2B-tenantlar, iň az API-satyn alyşlar, allow-list IP, wagt penjireleri.
DPA/SLA: giriş ýazgylary, saklanyş möhletleri, geografiýa, hadysalar, subprosessorlar.
Offbording: açarlary yzyna almak, aýyrmagy tassyklamak, ýapylyş hereketi.

9) Howpsuzlyk we komplayens bilen integrasiýa

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: adaty bolmadyk göwrümlere/' purpose '-siz elýeterlilige/penjireden çykmaga/geo.
GDPR/AML/PCI: Need-to-Know, DSAR-laýyklyk, töleg perimetri bölünişigi, magazinesurnallar üçin WORM.

10) Mysal syýasatlary (bölekler)

10. 1 VIP-dolandyryjynyň syýasaty

Profiliňizi gizläň, eksporty gadagan ediň, JIT-i KIC-ni bilet arkaly görüň.

10. 2 Marketing analitigi üçin syýasat

Diňe PII bolmadyk agregatlar; razylyk bar bolsa (CMP baýdagy), MDM enjamyndan, iş wagtyna girmek.

10. 3 Psevdo-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

12) Metrikler we KRIs/KPIs

Coverage ABAC: Atribut düzgünleriniň aşagyndaky möhüm toplumlaryň 95% -ini ≥.
JIT-rate: Hukuklaryň ýokarlanmagynyň 80% ≥ JIT ýaly gidýär.
Offboarding TTR: iş kesilen/öçürilen pursadyndan 15 minuda ≤ elýeterliligi yzyna almak.
'purpose': = 0 (KRI).
Quarterly recertification: 100% rollar/toparlar tassyklandy.
Export compliance: 100% eksport gol çekildi/çap edildi.

13) Çek-listler

13. 1 Giriş berilmezden öň

• Kesgitlenen 'purpose', möhlet, maglumatlaryň eýesi
• SoD/ýurisdiksiýa/data synpy barlagy geçdi
• Iň az satyn almak + gizlemek goşuldy
• MFA/MDM/Tor şertleri berjaý edildi
• Gurnalan magazinesurnallar we gözden geçirilen senesi

13. 2 Çärýekleýin audit

• Toparlary/rollary gurluş gurluşy bilen deňeşdirmek
• Ulanylmaýan hukuklary yzyna almak
• Break-glass we uly eksportlary barlaň
• Okuwy tassyklamak (privacy/security)

14) Nusgawy ssenariýalar we çäreler

A) Inerener prod-DB-e wagtlaýyn girmeli

JIT 30-60 min, PAM, post-revew, CAPA arkaly ýazga alnan sessiýa.

B) Täze affiliat oýunçylary düşürmegi soraýar

Diňe agregatlar/anonim; eger PII - şertnama, hukuk esaslary, meýdanlaryň ak sanawy, magazineurnal/gol, çäklendirilen sürgün möhleti.

C) VIP dolandyryjysy KYC-resminamalary görmek isleýär

Göni elýeterliligi gadagan etmek; AML/KYC arkaly haýyş etmek, JIT arkaly ýekeje-de bermek, doly meýdanlar.

15) Durmuşa geçirmegiň ýol kartasy

Hepdeler 1-2: ulgamlaryň/maglumatlaryň inventarizasiýasy, klassifikasiýa, esasy RBAC-matrisa, başlangyç SoD-tablisasy.
Hepdeler 3-4: ABAC (çarşenbe/geo/synp/MDM), JIT we break-glass, PAM-yň işe girizilmegi, eksport žurnallary.
Aýy 2: COC/töleg perimetri segmentasiýasy, aýry-aýry açarlar/KMS, SoD/ABAC düzgünlerini bozmak üçin SOAR-alertleri.
3-nji aý: çärýekleýin gaýtadan sertifikatlaşdyrmak, atributlary giňeltmek (enjamyň töwekgelçiligi/wagty), maskalanmagy awtomatlaşdyrmak, yzygiderli tabletop-maşklar.

TL; DR

Ygtybarly giriş modeli = maglumatlaryň klassifikasiýasy → RBAC + ABAC → SoD bilen 4-gözler → JIT/PAM we berk audit → yzygiderli gaýtadan sertifikatlaşdyrmak we eksporta gözegçilik. Bu hyýanatçylykly peýdalanmak ähtimallygyny peseldýär we auditleriň/kadalaşdyryjy barlaglaryň geçirilmegini çaltlaşdyrýar.