KPI va komplayens metrikasi

1) Nega komplayens metrikasi

Metriklar talab va xatarlarni boshqariladigan maqsadlarga o’tkazadi. Yaxshi KPI/KRI tizimi:

muvofiqlik maqomini vaqt bo’yicha shaffof va qiyosiy qiladi;
komplayens ishini biznes natijasi bilan bog’laydi (yo’qotishlarni/jarimalarni/relizlarning kechikishlarini kamaytirish);
his-tuyg’ular bo’yicha emas, balki faktlar bo’yicha ustuvorliklar va resurslarni boshqarish imkonini beradi;
auditni soddalashtiradi: yo’naltiriladigan formulalar, manbalar va o’zgarmas artefaktlar (evidence) mavjud.

Atamalar:

KPI - ijro ko’rsatkichlari (jarayonlar samaradorligi).
KRI - xavf ko’rsatkichlari (hodisalarning ehtimolligi/ta’siri).
SLO/SLA - xizmat ko’rsatishning maqsadli darajalari/muddatlar bo’yicha majburiyatlar.
Leading vs Lagging: oldindan kutish (leading) va kechikish (lagging) indikatorlari.

2) Domenlar bo’yicha metrika xaritasi (referens-matrisa)

Domen	KPI/KRI	Turi	Formula (qisqacha)	Maqsad (misol)
Siyosat/Ta’lim	Attestatsiyalar coverage	KPI	_ kursdan o’tdi/_ o’tishi kerak	≥ 95 %/chorak
MTTU Policy (yangilanish tezligi)	KPI	t_publikatsii − t_triggera	30 kundan ≤
Kirish/IAM	Access Hygiene	KPI	_ eskirgan _ huquqlar/barcha _ huquqlar	≤ 2%
SoD Violations	KRI	zaharli kombinatsiyalar soni	0 (tanqidiy)
Ma’lumotlar/maxfiylik	DSAR SLA muddatida	KPI	_ muddatda/jami	≥ 98%
TTL Violations	KRI	_ Ortiqcha obʼektlar _ TTL	↓ nolga
Infra/bulut/IaC	Drift Rate	KPI	dreyf/oy	↓ trend
Encryption Coverage	KPI	_ shifrlangan resurslar/hammasi	100%
DevSecOps/kod	Secrets in Repos	KRI	_ sirlar/oylar	0 tanqidiy
License Compliance	KPI	_ neok _ litsenziyali paketlar	0
AML/tranzaksiyalar	STR/SAR Timeliness	KPI	_ muddatda/jami	≥ 99%
False Positive Rate AML	KPI	yolg’on/barcha alertlar	≤ 10% (kontekstda)
Hodisalar/audit	Time-to-Remediate Findings	KPI	mediana t_zakrytiya	≤ 30 kun High
Repeat Findings	KRI	12 oy uchun takrorlar%	≤ 5%

3) «Shimoliy yulduzlar» (North Star) komplayens

1. Audit-ready N soat (barcha evidence avtomatik yig’ilgan).
2. Zero Critical Violations (xavfsizlik/tartibga solish bo’yicha nol tanqidiy nomuvofiqliklar).
3. 90% ≥ avtomatlashtirilgan nazorat (policy-as-code + CCM) bilan.

4) Metriklarning taksonomiyasi

4. 1 Coverage (qamrab olish)

Control Coverage: boshqariladigan tizimlar/barcha tanqidiy tizimlar.
Evidence Coverage: artefaktlar yig’ildi/audit chek-varaqasi bo’yicha.
Policy Adoption: talablar joriy etilgan jarayonlar/barcha maqsadli jarayonlar.

4. 2 Effectiveness (nazorat samaradorligi)

Pass Rate Test Control: oʻtgan/jami test davri.
FPR/TPR (yolg’on/haqiqat) detektiv qoidalar uchun.
Incidents Prevented: preventiv nazorat bilan oldini olingan keyslar.

4. 3 Efficiency (xarajatlar/tezlik)

MTTD/MTTR buzilishlar: detektiv/bartaraf etish vaqti.
Cost per Case (AML/DSAR): soat × stavka + infratuzilma xarajatlari.
Automation Ratio: avto yechimlar/barcha yechimlar.

4. 4 Timeliness (muddatlar)

Bajarish SLA (DSAR/STR/trening): muddatida/hammasi.
Lead Time siyosatchisi: triggerdan nashrgacha.
Change Lead Time (DevSecOps-geytlar): PR dan to relizgacha.

4. 5 Quality (ma’lumotlar/jarayonlar sifati)

Evidence Integrity: xesh-xat bilan WORMdagi artefaktlar%.
Data Defects: reg-hisobot/hisobotlardagi xatolar.
Training Score: testning o’rtacha balli, birinchi marta%.

4. 6 Risk Impact (tavakkalchilikka ta’siri)

Risk Reduction Index: remediatsiyadan so’ng jami xavf-tezlikni ∆.
Regulatory Exposure: ochiq tanqidiy gaplar vs litsenziya/sertifikatlashtirish talablari.
$ Avoided Losses (baholash bo’yicha): gep yopilishi bilan oldini olingan jarimalar/yo’qotishlar.

5) Hisob-kitoblarning formulalari va namunalari

5. 1 DSAR SLA

’DSAR _ SLA = (yopiq buyurtmanomalar soni ≤ 30 kun )/( buyurtmanomalar soni)’

Maqsad: 98% ≥; qizil zona <95%, sariq 95-97. 9.

5. 2 Access Hygiene

’AH = _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _

Chegara: ≤ 2% (qizil zona> 5%).

5. 3 Drift Rate (IaC/Cloud)

’DR = dreyflar (IaC fakt nomuvofiqliklari )/oy’

Trend: ketma-ket 3 oy davomida barqaror pasayish.

5. 4 Time-to-Remediate (по severity)

High: mediana ≤ 30 kun; Critical: ≤ 7 kun. Kechiktirish → avtoeskalatsiya.

5. 5 AML FPR

’FPR = soxta ijobiy _ alertlar/hamma _ alertlar’

TPR va qayta ishlash uchun yoʻqotishlar bilan muvozanatlashing.

5. 6 Evidence Coverage (audit)

’EC = to’ plangan _ artefaktlar/majburiy _ chek-varaq bo’yicha ’

Maqsad: auditning D-sanasiga 100%; operatsion maqsad - ≥ 95% doimiy.

6) Ma’lumotlar va dalillar manbalari (evidence)

Compliance DWH vitrinasi: DSAR, Legal Hold, TTL, audit-loglar, alertlar.
IAM/IGA: rollar, egalari, attestatsiya kampaniyalari.
CI/CD/DevSecOps: SAST/DAST/SCA, sır-skan, litsenziyalar, geytlar.
Cloud/IaC: konfiguratsiyalar snapshotlar, dreyf-reportlar, KMS/HSM-loglar.
SIEM/SOAR/DLP/EDRM: korrelyatsiyalar, pleybuklar, blokirovkalar.
GRC: talablar, nazorat, waivers va auditlar reyestri.
WORM/Object Lock: oʻzgarmas artefaktlar arxivi + xesh-xabarlar.

7) Dashbordlar (minimal to’plam)

1. Compliance Heatmap - tizimlar × normativlar × maqom.
2. SLA Center - DSAR/STR/o’qitish: muddatlar, kechikishlar, prognoz.
3. Access & SoD - zaharli rollar, orphan-akkauntlar, attestatsiyaning taraqqiyoti.
4. Retention & Deletion - TTL buzilishlari, Legal Hold blokirovka, trendlar.
5. Infra/Cloud Drift - IaC nomuvofiqliklari, shifrlash, segmentlash.
6. Findings Pipeline - egalari va severity bo’yicha ochiq/muddati o’tgan/yopiq.
7. Audit Readiness - evidence qoplamasi va «tugma bo’yicha» tayyor bo’lgunga qadar vaqt.

Rang zonalari (misol):

Yashil - maqsadga erishildi/barqaror.
Sariq - chetga chiqish xavfi, reja talab qilinadi.
Qizil - keskin og’ish, darhol kuchayish.

8) OKR-bog’lamasi (chorak misoli)

Objective: Relizlarni sekinlashtirmasdan tartibga solish va operatsion xavfni kamaytirish.

KR1: Avtomatlashtirilgan nazoratlarning Coverage qismini 72% → 88% dan oshirish.
KR2: Access Hygieneni 4 dan kamaytirish. 5% → ≤ 2%.
KR3: DSARning 99 foizi muddatda; javob mediani ≤ 10 kun.
KR4: Drift Rate bulutlar − 40% QoQ.
KR5: Time-to-Audit-Ready ≤ 8 soat (dry-run).

9) Metriklar uchun RACI

Rol	Javobgarlik zonasi
Head of Compliance / DPO (A)	Maqsadli KPI/KRI, hisobot chegarasi va darajasini tanlash
Compliance Analytics (R)	Modellar, formulalar, ma’lumotlar vitrinalari, dashbordlar
Data Platform (R)	Payplaynlar, maʼlumotlar sifati, WORM-arxiv evidence
SecOps/Cloud Sec (C)	Dreyf, shifrlash, SOAR pleybuklari
IAM/IGA (C)	Attestatsiyalar, SoD, kirish egalari
Product/DevSecOps (C)	Geytlar, zaifliklar, sir-skan
GRC (R/C)	Talab/nazorat reyestri, waivers
Internal Audit (I)	Hisob-kitoblar va manbalarni verifikatsiya qilish

10) O’lchash chastotasi va tartib-taomillari

Har kuni: CCM alertlari, drift, sirlar, tanqidiy hodisalar.
Har hafta: SLA DSAR/STR, DevSecOps geytlar, Access Hygiene.
Har oyda: pass rate control, takroriy findings, Evidence Coverage.
Har chorakda: OKR-hisobot, Risk Reduction Index, audit-repetitsiya (dry-run).

Chegaralarni qayta ko’rib chiqish tartib-taomillari: trendlar, xarajatlar va tavakkalchiliklarni tahlil qilish; chegaralarni o’zgartirish - Board orqali.

11) Metriklarning sifati: qoidalar

Yagona semantika: atamalar va SQL shablonlari lug’ati.
Formulalar versiyasi: «metrika kod sifatida» (repozitoriy + revyu).
Takrorlanuvchanlikni tekshirish: auditorlar uchun skriptlar.
Artefaktlarning immutabelligi: WORM + xesh-zanjirlar.
Maxfiylik: minimallashtirish, niqoblash, KPI vitrinalariga kirishni nazorat qilish.

12) So’rovlar namunalari (SQL/psevdo)

12. 1 DSAR SLA (30 kun):

sql
SELECT
COUNTIF(closed_at <= created_at + INTERVAL 30 DAY) / COUNT() AS dsar_sla_rate
FROM dsar_requests
WHERE created_at BETWEEN @from AND @to;

12. 2 Access Hygiene:

sql
SELECT
SUM(CASE WHEN owner IS NULL OR expires_at < CURRENT_DATE THEN 1 END)
/ COUNT() AS access_hygiene
FROM iam_entitlements
WHERE system_critical = TRUE;

12. 3 Drift (Terraform vs fakt):

sql
SELECT COUNT() AS drifts
FROM drift_detections
WHERE detected_at BETWEEN @from AND @to
AND severity IN ('high','critical');

13) Chegara qiymatlari (referens-misollar, moslashtiring)

Metrika	Yashil	Sariq	Qizil
DSAR SLA	≥ 98%	95–97. 9%	< 95%
Access Hygiene	≤ 2%	2. 01–5%	> 5%
Drift Rate (high/crit)	5/oy ≤	6-15/oy	> 15/oy
Evidence Coverage	100%	95–99. 9%	< 95%
Pass Rate Control	≥ 97%	90–96. 9%	< 90%
Time-to-Audit-Ready	8- ≤	8-24 soat	> 24 soat

14) Antipatternlar

Hisobot uchun metriklar egasi va harakatlar rejasisiz.
Formulalar versiyalarini aralashtirish → trendlarning mos kelmasligi.
Samarasiz qamrov: yuqori Coverage, lekin yuqori drift va takroriy findings.
AML/CCM da soxta ishlov berish (FPR) qiymatining ignori.
Xavf kontekstisiz metrika (KRI va litsenziyalar bilan aloqa yo’q).

15) Chek-varaqlar

KPI tizimini ishga tushirish

Metrika lugʻati va «metrika kod sifatida» yagona repozitoriyasi.
Egalari va yangilanish chastotalari tayinlandi.
Manbalar va «Compliance» oynasi ulangan.
Dashbordlar va rang zonalari, SLO/SLA va eskalatsiyalar sozlangan.
WORM arxivi va hisobotlarni xesh tuzatish.
Qayta ko’rib chiqish uchun Dry-run.

Choraklik hisobotdan oldin

Formulalarni verifikatsiya qilish, anomaliyalarni nazorat qilish.
Tartibga solish ostonalarini yangilash.
Cost/benefit FPR vs TPR tahlili.
«Qizil» zonalar bo’yicha yaxshilash rejasi.

16) Metriklarning etuklik modeli (M0-M4)

M0 Qoʻl hisobi: Excel jadvallari, tartibsiz hisobotlar.
M1 Katalog: yagona vitrin, asosiy SLA va trendlar.
M2 Avtomatlashtirilgan: real vaqtda dashbordlar, eskalatsiya.
M3 Orchestrated: policy-as-code, CCM, auto-evidence, islohotlar.
M4 Continuous Assurance: «tugma bo’yicha audit-ready», tavakkalchilikning prognoz (ML) metrikasi.

17) wiki bilan bog’liq moddalar

Muvofiqlikning uzluksiz monitoringi (CCM)

Komplayens va hisobotni avtomatlashtirish

Tavakkalchilikka yo’naltirilgan audit

Siyosat va tartib-taomillarning hayot sikli

Legal Hold va muzlatish

DSAR: foydalanuvchi soʻrovlari

Maʼlumotlarni saqlash va oʻchirish jadvallari

Jami

Kuchli komplayens KPI - bu tushunarli formulalar, ishonchli manbalar, egalari va ostonalari, avtomatlashtirilgan vitrin va og’ish harakatlari. Shunday qilib, komplayens biznes xavfi va tezligiga o’lchanadigan ta’sir ko’rsatadigan bashorat qilinadigan xizmatga aylanadi.

KPI va komplayens metrikasi

Choraklik hisobotdan oldin

Jami

Biz bilan bog‘laning

Tez aloqa

Video tez orada yangilanadi

Hozir loyihalar bilan juda bandmiz