Dalillar va hujjatlarni saqlash

1) Maqsad va natijalar

• Artefaktlarning yuridik ahamiyatga ega o’zgarmasligi (immutable evidence).
• Izlanuvchanlik: kim, qachon, nima uchun yaratdi/o’zgartirdi/o’qidi.
• «Tugma bo’yicha» auditga tayyorlik (replikatsiya qilinadigan «audit pack»).
• Maxfiylik va retensiyaga rioya qilish (TTL, Legal Hold, olib tashlash/anonimlashtirish).
• Huquqlar va javobgarlikning yagona konturi (RACI) va sifat metrikasi.

2) Artefaktlarning taksonomiyasi (dalil deb hisoblaymiz)

Texnik: kirish va ma’muriy harakatlar daftarlari, skaner natijalari (SAST/DAST/SCA), sirni skanerlash hisobotlari, SOAR-jurnallar, IaC dreyfi/bulutlar, konfiguratsiya bekaplari, KMS/HSM-treklar.
Operatsion: ITSM tiketlari/hodisalar/o’zgarishlar, post-mortem protokollari, DR/BCP test dalolatnomalari, kirish taftishlari hisobotlari (re-cert).
Huquqiy va tartibga soluvchi: siyosat/standartlar/SOP versiya jurnali, DPA/SLA/addendumlar, regulyatorlarga bildirishnomalar, so’rovlarga javoblar, SARA/remediatsiyalar.
Maxfiylik va ma’lumotlar: qayta ishlash reyestrlari, DSAR-keyslar, olib tashlash/anonimlashtirishni tasdiqlash, retensiya jadvallari, Legal Hold jurnallari.
Vendorlar/uchinchi tomonlar: Due Diligence natijalari, sertifikatlar (SOC/ISO/PCI), pentestlar hisobotlari, SLA muvofiqligi.
Moliyaviy-nazorat: AML/STR hisobotlari, limitlar va istisnolar, SoD tasdiqlari.

3) Prinsiplar (design tenets)

Immutability by default: WORM/Object Lock, saqlash davrida qayta yozishni taqiqlash.
Integrity & Authenticity: xesh-zanjirlar, merkli-ildizlar, raqamli imzo va vaqt belgilari.
Minimal & Purpose-bound: faqat kerakli maʼlumotlar, taxallus/niqoblash.
Case-based access: keys va rollarga kirish, oʻqish/eksport qilish jurnali orqali.
Policy-as-Code: retensiya/Legal Hold/artefaktlar sinflari - qoidalar omborida.
Auditability: xesh-kvitansiyalar bilan takrorlanadigan hisobotlar va «audit pack».

4) Rollar va RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Ombor arxitekturasi (referens)

1. Qabul qilish zonasi (ingest): ishonchli shina, mTLS, retralar, deduplikatsiya, meta ma’lumotlarni normallashtirish (JSON).
2. Issiq saqlash: tezkor qidiruv/hisobotlar (30-90 kun).
3. Sovuq ombor: obyekt/arxiv (1-7 yil), iqtisodiyot sinfi.
4. WORM/Object Lock-kontur: baket/obyekt uchun siyosatchilar bilan oʻzgarmas dalillar arxivi.
5. Yaxlitligi: xesh-batchi, merkli-daraxtlar, davriy ankering; tekshirishlar jurnali.
6. Artefaktlar katalogi/MDM: tiplar, sxemalar, egalar, TTL, asosiy qidiruv maydonlari reyestri.
7. Kirish: RBAC/ABAC + case-based access; xesh-kvitansiya bilan eksport qilish; sezgir to’plamlar uchun ikki qismli nazorat.
8. Replikatsiya va DR: georaylash, RTO/RPO maqsadlari, qayta tiklashni muntazam tekshirish.

6) Siyosat-kod sifatida (YAML-misol)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Saqlash zanjiri (Chain of Custody)

Identifikatsiya: obʼektning oʻziga xos ID, manba, sxemaning versiyasi.
Belgilash: xesh SHA-256/512, paket imzosi, vaqt shtampi.
Transport: manifestlar jurnali (kim/qachon yuklagan/verifikatsiya qilgan).
Kirish: barcha oʻqishlar/eksportlarni hisobga olish; keys/chiptaga havola.
Hisobot: xesh-kvitansiyalar, verifikatsiya bayonnomalari, solishtirish natijalari.

8) Retensiya, Legal Hold va olib tashlash

Artefaktlar va yurisdiksiyalar sinflari bo’yicha saqlash jadvallari.
Legal Hold insidentlar/regulyatorning so’rovlarida - o’chirishlarni «muzlatish».
TTL boʻyicha oʻchirish faqat aktiv Hold yoʻqligini avtomatik tekshirgandan soʻng amalga oshiriladi.
Olib tashlash to’g "risidagi hisobot - obyektlar ro’yxati + yig’ilgan xesh-ma’lumot.
Vendorning offbordingi - ko’zgu retentsiyasi, yo’q qilinganligini tasdiqlash.

9) Maxfiylik va minimallashtirish

Scope-minimum: «toʻliq payload» emas, balki kontekstni saqlash.
Sezgir maydonlarni taxalluslashtirish/yashirish; qayta identifikatsiyalashning alohida kalitlari.
«keysdan» foydalanish: DSAR/hodisa uchun - jurnal bilan vaqtinchalik huquqlar.
Transchegaralik: saqlash/ishlov berish mamlakatining aniq belgilari; nusxalarni nazorat qilish.

10) «Audit pack» (tuzilma)

1. Tashkilot va RACI tavsifi.
2. Siyosat/standartlar/SOP (dolzarb versiyalar + changelog).
3. Tizimlar va nazorat xaritasi + me’yorlar/sertifikatlashtirish uchun meping.
4. KPI/KRI metrikasi va davr hisobotlari.
5. Namunaviy artefaktlar: loglar, konfiglar, skanlar, DR/BCP, kirish taftishlari.
6. Vendor-dosye: DPA/SLA, sertifikatlar, pentest-hisobotlar.
7. SARA/remediatsiyalar: maqomi, yopilish dalillari.
8. Paketning xesh-kvitansiyasi va undan foydalanish jurnali.

11) Metrika va SLO

Integrity Pass: 100% muvaffaqiyatli xesh-zanjir tekshiruvlari.
Anchor Freshness p95: ≤ va verifikatsiya o’rtasida 2 soat.
Coverage: evidence katalogidagi kritik tizimlarning 98% ≥.
Access Review SLA: arxivga bo’lgan huquqlarni har oyda qayta attestatsiyadan o’tkazish 100%.
Legal Hold Lag: Hold oʻrnatishdan ≤ 15 daqiqa oldin.
Export SLA («audit pack»): to’liq to’plamni berish uchun 8 soatdan ≤.
PII Leak Rate: arxivda 0 ta tanqidiy oqish.

12) Dashbordlar (minimal to’plam)

Integrity & WORM: ankering maqomi, Object Lock, tekshirish xatolari.
Coverage & Catalog: artefaktlar sinflari, «teshiklar», yetim bolalar obʼektlarini qamrab olish.
Access & Exports: kim nima o’qigan/tushirgan, anomaliyalar, SoD mojarolari.
Retention & Hold: TTL taymeri, aktiv Legal Hold, oʻchirish jadvali.
Vendor Mirror: pudratchilarning koʻzgu retensiyasi holati.
Audit Readiness: tugma boʻyicha tayyorlik va SLA gacha boʻlgan vaqt.

13) SOP (standart tartib-taomillar)

SOP-1: Dalillarni yuklash

1. Manbani ro’yxatdan o’tkazish → 2) normallashtirish/sxema → 3) xesh va imzo →

2. WORM-zonaga yozish → 5) verifikatsiya va ankering → 6) katalogni yangilash.

SOP-2: «Audit pack» ni tayyorlash

Keysni ochish → namunadagi artefaktlar ro’yxatini yig’ish → paketni shakllantirish → xesh-kvitansiyani yaratish → legal review → rasmiy kanal orqali berish → kirish va nusxani WORMga yozib olish.

SOP-3: Legal Hold

Hold dasturini ishga tushirish → sinflar/keyslarni bogʻlash → oʻchirish vazifalarini toʻxtatish → egalarini xabardor qilish → barcha operatsiyalarni jurnalga olish → Hold’ni Legal tomonidan olib tashlash.

SOP-4: TTL oʻchirish

Aktiv Hold → ni tekshirish → atom → xesh hisobotini chiqarish → katalogni yangilash.

SOP-5: Offbording vendor

Ko’zgu hisobotini so’rash → eksport/topshirish → vendordan yo’q qilinganligini tasdiqlash → tekshirish va ma’lumotnomalar arxivi.

14) Artefaktning meta ma’lumotlari (minimal)

UID, sinf, sxema versiyasi, manba, egasi/aloqa.
Tashkil etilgan va yuklangan sana/vaqt, yurisdiksiya/saqlash hududi.
Xesh/imzo/merkli-varaq va verifikatsiya tarixi.
TTL va Legal Hold maqomi.
Bogʻlangan tafsilotlar/keyslar/siyosatlarga havolalar.
Kirish/eksport tarixi.

15) Yaxlitlikni tekshirish (algoritm)

Batchlarni har kuni tanlash → xeshlarni qayta hisoblash → merkli-ildiz bilan solishtirish → nomuvofiqliklar to’g "risidagi hisobot → tekshiruvgacha bo’lgan bahsli segmentlarning avtomatik eskalatsiyasi va" freeze ".

16) Sifat va test sinovlari

Schema compliance ≥ 99. 5% (rad etish → qabul qilishni blokirovka qilish).
Disaster Restore Drills - arxivni tiklashning choraklik testlari.
Reperformability - auditorlar uchun reperm skriptlari (hisobotlarning takrorlanuvchanligi).
Versioned Playbooks - SOP va «audit pack» shablonlarini versiyalash.

17) Antipatternlar

WORM/immutability yo’qligi → dalillar bahsliligi.
Sxemasiz xom matn → zaif qidirish/tasdiqlash.
Katalog va egalari yoʻq → «hech kim» javobgarligi.
Arxiv «omborxona» sifatida: metrik/dashbordlar yo’q, DR-testlar yo’q.
Muddati tugagan abadiy istisnolar (waivers).
Xesh-kvitansiyasiz va kirish jurnalisiz eksport qilish.
Artefaktlarda PI prod-ma’lumotlarini minimallashtirmasdan aralashtirish.

18) Etuklik modeli (M0-M4)

M0 Qoʻlda: tarqoq jildlar, TTL/saqlash zanjiri yoʻq.
M1 Katalog: artefaktlarning yagona reyestri, bazaviy retensiya.
M2 Boshqariladigan: WORM/Object Lock, IAM, Legal Hold, dashbordlar bilan integratsiya.
M3 Assured: xesh-zanjirlar, ankering, case-based access, tugma boʻyicha «audit pack».
M4 Continuous Assurance: avtomatik tekshiruvlar, prognoz xavflari, vendorlarda ko’zgu retensiyasi, to’liq DR-mashqlar.

19) wiki bilan bog’liq moddalar

Jurnallar va protokollarni yuritish

Audit Trail: operatsiyalarni kuzatish

Legal Hold va muzlatish

Maʼlumotlarni saqlash va oʻchirish jadvallari

Muvofiqlikning uzluksiz monitoringi (CCM)

KPI va komplayens metrikasi

Due Diligence va autsorsing xavfi

Komplayens siyosatidagi oʻzgarishlarni boshqarish

Regulyatorlar va auditorlar bilan o’zaro hamkorlik

Jami

Dalillarni ishonchli saqlash - bu shunchaki «arxiv» emas, balki boshqariladigan va isbotlanadigan o’zgarmas tizim: WORM va xesh-zanjirlar, qat’iy retensiya siyosati va Legal Hold, keys orqali kirish, «audit pack» ni takrorlanadigan kataloglar va metriklar va muntazam ravishda yaxlitlikni tekshirish. Bunday tizimda audit oldindan aytish mumkin, tekshiruvlar tezkor, xavf-xatarlar esa nazorat ostida.