GH GambleHub

Sürekli uyumluluk izleme

1) Sürekli uyumluluk izleme nedir

Sürekli Uyum İzleme (CCM), gereksinimlerin (GDPR/AML/PCI DSS/SOC 2, vb.) sürekli çalışan ölçülü kontroller olarak ifade edildiği sistematik bir yaklaşımdır: sinyalleri toplamak, politikacılarla gerçekleri kontrol etmek, uyarılar/biletler oluşturmak ve kanıt toplamak. Hedefler:
  • Manuel kontrolleri ve insan faktörünü azaltın.
  • TTD/MTTR ihlallerini azaltın.
  • Herhangi bir zamanda "denetime hazır" durumu sağlayın.
  • Kod olarak politika aracılığıyla değişimi hızlandırın.

2) CCM'nin kapsamı

Erişimler ve Kimlikler (IAM/IGA): SoD'ler, gereksiz roller, "sahipsiz erişimler".
Veri ve gizlilik: saklama/TTL, maskeleme, Yasal Bekletme, DSAR-SLA.
Altyapı/bulut/IaC: yapılandırma sürüklenmesi, şifreleme, segmentasyon.
Ürün/kod/CI-CD: depolardaki sırlar, SCA/SAST/DAST, OSS lisansları.
İşlemler/AML: yaptırım/PEP taraması, anomali kuralları, STR/SAR.
İşlemler: denetim günlükleri, yedekleme ve kurtarma, güvenlik açıkları.

3) CCM Referans Mimarisi

Katmanlar ve akışlar:

1. Sinyal toplama: ajanlar ve konektörler (bulut, veritabanı, günlükler, SIEM, IAM, CI/CD, DLP, posta/sohbet arşivleri).

2. Normalleştirme ve zenginleştirme: etkinlik otobüsü (Kafka/Bus) + Uyumluluk vitrinlerinde ETL/ELT.

3. Policies-as-code (CaC): Sürümler, testler ve incelemelerle birlikte YAML/Rego politika deposu.

4. Kural motoru (akış/parti): Ihlalleri, önceliği ve risk oranını hesaplar.

5. Orkestrasyon: biletleme/SOAR + RACI tırmanma, otomatik iyileştirme, SLA pozlama.

6. Kanıt/WORM: değişmez eserler (günlükler, yapılandırma çekimleri, raporlar).

7. Panolar ve raporlama: ısı haritası, KPI/SLO, düzenleyici yüklemeler.

4) Kod olarak politikalar: Mini diyagramlar

yaml id: IAM-SOD-007 title: "Prohibition of toxic combination of roles: finance_approver + vendor_onboarder"
scope: ["iam:"]
detect:
query: iam_sod_violations_last_1h. sql severity: high notify: ["GRC","SecOps"]
remediate:
playbook: revoke_extra_role sla:
detect_minutes: 15 remediate_hours: 24 evidence:
sink: s3://evidence/iam-sod/dt={{ts}}
owners: ["IGA","FinanceOps"]
yaml id: GDPR-RET-001 title: "TTL 24м для PI; LegalHold priority"
rule: "object. age_months <= 24          object. legal_hold == true"
detect:
job: retention_scan_daily sla: { detect_minutes: 60, remediate_days: 7 }

5) Standartlara göre standart kontroller

StandartKontrolSinyalEylem
GDPRTTL ve sil PIRetans Bozuklukları RaporuLegal Hold'da bilet + silme bloğu
GDPRDSAR SLA ≤30 güntalep zamanlayıcıDPO/Yasal yükseltme
AMLYaptırım/PEP taramasıListelerde çöpçatanlıkİşlem dondurma, kasa
PCI DSSŞifreleme ve segmentasyonconfig-snapshotySOAR playbook düzeltmek için
SOC 2Aylık erişim incelemeleriIAM etkinlikleritasdik kampanyası/raporu

6) Metrikler ve SLO

Kapsam: İzleme altındaki sistemlerin/verilerin %'si (hedef ≥ %90).
MTTD/MTTR kontrolleri: algılama/eleme için ortalama zaman.

Drift Oranı: drift konfigürasyonları/ay

Yanlış Pozitif Oran: Kurallara göre yanlış pozitif oranı.
Denetim Hazırlık Süresi: kanıt hazırlama süresi (hedef - saat).
DSAR SLA: % zamanında kapatıldı; Medyan yanıt.
Erişim Hijyeni: eski hakların paylaşımı; SoD ihlalleri kapatılıyor.

7) CCM Süreçleri (SOP)

1. Gereksinimlerin tanımlanması - matris "standart - kontrol - metrik".
2. Kural tasarımı - kod olarak politika, testler, PR/inceleme, sürüm oluşturma.
3. Dağıtım - evreleme doğrulama, sonra özellik bayrağı ile prod.
4. İzleme ve uyarılar - önceliklendirme (sev/etki), gürültü engelleme, veri tekilleştirme.
5. İyileştirme - otomatik oyun kitapları + sahiplerine bilet; SLA yükselmeleri.
6. Kanıt - periyodik görüntüler; WORM/değişmezlik; Özet özetleri.
7. Yeniden değerleme - kuralların üç ayda bir ayarlanması, FPR/TPR analizi, A/B karşılaştırmaları.
8. Eğitim - kontrol sahiplerinin, talimatların ve feragatnamelerin yüklenmesi.

8) Uyarı yaşam döngüsü

Detect? Triage? Assign? Remediate? Verify? Close? Learn.
Her adım için kaydedilir: sahibi, son tarih, alınan önlemler, kanıt eserler.

9) Entegrasyonlar

GRC - gereksinimler, riskler, kontroller, inceleme kampanyaları, eser depolama.
SIEM/SOAR - olay korelasyonu, otomatik oyun kitapları.
IAM/IGA - değerlendirmeler, SoD, RBAC/ABAC, erişim yaşam döngüsü.
CI/CD/DevSecOps - uyumluluk kapıları, SAST/DAST/SCA, gizli tarama.
Veri Platformu - "Uyumluluk" vitrinleri, katalog/soy, maskeleme.
DLP/EDRM - duyarlılık etiketleri, exfiltrasyon inhibisyonu, günlükler.
Biletleme/ITSM - SLA'lar, yükselmeler, sahip ve ekip raporları.

10) Gösterge Panoları (minimum set)

Uyumluluk Isı Haritası (sistemler × düzenlemeler × durum).
SLA Merkezi (son tarihler, gecikmeler DSAR/AML/PCI/SOC2).
Erişim ve SoD (toksik roller, "unutulmuş" erişim).
Saklama ve Silme (TTL ihlalleri, Yasal Bekletme kilitleri).
Infra/Bulut Sürüklenme.
Olaylar ve Bulgular (tekrarlama eğilimleri, iyileştirme verimliliği).

11) Örnek kurallar (SQL/pseudo)

TTL bozuklukları: 
sql
SELECT user_id, dataset, created_at
FROM pi_objects
WHERE age_months(created_at) > 24
AND legal_hold = false;
SoD çatışması: 
sql
SELECT u. id, r1. role, r2. role
FROM user_roles r1
JOIN user_roles r2 ON r1. user_id = r2. user_id
JOIN users u ON u. id = r1. user_id
WHERE r1. role = 'finance_approver' AND r2. role = 'vendor_onboarder';

12) Roller ve RACI

RolSorumluluk
Uyum/DPO Başkanı (A)Öncelikler, Politika Güncellemeleri ve İstisnalar
Uyumluluk Mühendisliği (R)Kod olarak ilkeler, bağlayıcılar, kurallar, testler
SecOps/Bulut Sec (R)İzleme, SOAR, sürüklenme/güvenlik açıkları
Veri Platformu (R)Vitrinler, katalog, soy, kanıt arşivi
Ürün/Dev Leads (C)Hizmetlere ve SDLC'ye Gömme Denetimleri
Yasal (C)Talep ve Çatışmaların Yorumlanması (DSAR vs Legal Hold)
GRC/Ops (R)İnceleme, biletleme, SLO/SLA kampanyaları
İç denetim (I)Yürütmenin bağımsız doğrulanması

13) İstisna yönetimi (feragat)

Gerekçe ve son kullanma tarihi olan resmi talep.
Risk değerlendirmesi ve telafi edici kontroller.
Revizyon otomatik hatırlatma.
Raporlama (denetçi için şeffaflık).

14) CCM'de gizlilik ve güvenlik

Vitrinlerdeki ve günlüklerdeki verileri en aza indirme (PII sürümü).
Görev ayrılığı, en az ayrıcalık.
Değişmezlik (WORM/S3 Nesne Kilidi) для kanıt.
Raporların kriptografik fiksasyonu (hash zincirleri).
Erişim kontrolü ve yapaylara giriş.

15) Kontrol listeleri

CCM Başlat

  • Matris "standart> kontrol> metrik'kabul edilir.
  • Anahtar sinyal kaynakları bağlanmıştır.
  • Politikalar, testler ve incelemeler kapsamında kodla tanımlanır.
  • Gösterge tabloları ve uyarılar dahil; SLO/SLA tanımlanmıştır.
  • Kanıt (değişmezlik) arşivi yapılandırılmıştır.
  • Eğitimli sahipleri; feragat süreci tanımlanmıştır.

Denetimden Önce

  • Politikaların ve değişikliklerin güncellenmiş sürümleri.
  • Kanıt seçiminin kuru çalışması yapıldı.
  • İyileştirme ve istisna delinquencies kapalıdır.
  • Kapsam/MTTD/MTTR/Drift metrikleri uzlaştırılır.

16) Antipatterns

Kalıcı kontroller yerine "denetlenecek denetimler".
Önceliklendirme ve veri tekilleştirme olmadan gürültülü kurallar.
Sürüm ve test içermeyen politikalar.
Sahipler ve SLA'lar olmadan izleme.
Değiştirilebilir yerlerde kanıt/hash fiksasyonu olmadan.

17) CCM Olgunluk Modeli (M0-M4)

M0 Kılavuzu: Excel'de sporadik kontroller, raporlar.
M1 Enstrümantal: Kısmi telemetri, bir kerelik kurallar.
M2 Autodetect: sürekli kontroller, temel SLO'lar ve uyarılar.
M3 Orkestralı: SOAR, otomatik iyileştirme, her gün "denetime hazır".
M4 Sürekli Güvence: SDLC/Satış + Denetçi Self-Servisinde Kontroller.

18) İlgili wiki makaleleri

Uyumluluk ve raporlama otomasyonu

Yasal Tutma ve Veri Dondurma

Tasarım ve Veri Minimizasyonu ile Gizlilik

Veri Saklama ve Silme Çizelgeleri

PCI DSS/SOC 2 Kontrol ve Sertifikasyon

Olay yönetimi ve adli tıp

Toplam

CCM, bir organizasyonun "uygunluk nabzı'dır: politikalar kodla ifade edilir, sinyaller sürekli olarak akar, ihlaller anında görülebilir, kanıtlar otomatik olarak toplanır ve denetim bir yangına değil, operasyonel bir rutine dönüşür.

Contact

Bizimle iletişime geçin

Her türlü soru veya destek için bize ulaşın.Size yardımcı olmaya her zaman hazırız!

Entegrasyona başla

Email — zorunlu. Telegram veya WhatsApp — isteğe bağlı.

Adınız zorunlu değil
Email zorunlu değil
Konu zorunlu değil
Mesaj zorunlu değil
Telegram zorunlu değil
@
Telegram belirtirseniz, Email’e ek olarak oradan da yanıt veririz.
WhatsApp zorunlu değil
Format: +ülke kodu ve numara (örneğin, +90XXXXXXXXX).

Butona tıklayarak veri işlemenize onay vermiş olursunuz.