GH GambleHub

Eng kam zarur huquqlar prinsipi

1) Maqsad va ta’rif

Maqsad: foydalanuvchiga/xizmatga faqat aniq vazifani bajarish uchun qat’iy zarur bo’lgan resurslarga minimal yetarli muddatga va minimal hajmda ruxsat berish.
Ta’rifi: «kengligi (resurslari), chuqurligi (operatsiyalari), vaqti (TTL), konteksti (geo/qurilma/smena), sezgirligi (PII/moliya) bo’yicha minimal».

2) O’zbekiston Respublikasi

1. Need-to-Know: har bir huquq aniq purpose (asos) bilan bog’liq.
2. Time-Bound: oshirilgan huquqlar TTL (JIT) bilan beriladi; doimiy huquqlar - faqat read/masked.
3. Scope-Bound: ijara/mintaqa/brend/loyiha (tenant/region scoping) boʻyicha kirish cheklangan.
4. Data-Minimization: PII andoza ravishda yashirilgan; de-mask - faqat aniq asosda.
5. Traceability: har qanday kirish → jurnal +’purpose ’/’ ticket _ id’.
6. Revocability: tezkor chaqirib olish (offboarding ≤ 15 daqiqa, JIT - avtomatik chaqirib olish).

3) Boshqa nazorat bilan aloqa

RBAC: printsipial jihatdan kim qila oladi (asosiy rol).
ABAC: qaysi sharoitda (geo, qurilma/MDM, vaqt, KYC darajasi, xavf) aniqlashtiradi.
SoD: xavfli rollar kombinatsiyasini taqiqlaydi, sezgir harakatlar uchun 4-eyes talab qiladi.
Segmentatsiya: tarmoq/mantiqiy perimetrlar (to’lov, KYC, DWH, sirlar).
PAM/JIT/break-glass: vaqtinchalik imtiyozlarni xavfsiz berish va ularni yozib olish.

4) Resurslar va operatsiyalar tasnifi

Maʼlumotlar sinfiNamunalarMinimal daraja
Publicsayt tarkibiavtorizatsiyasiz
Internalmetriki bez PIISSO, read-only
ConfidentialDWH hisobotlari/agregatlariSSO + MFA, «viewer_...» rollari
Restricted (PII/moliya)KYC/AML, tranzaksiyalar, RGmasked-read, JIT uchun maskalanmagan
Highly Restrictedsirlar, ma’muriy konsollar, PANPAM, yozib olingan sessiyalar, izolyatsiya

Operatsiyalar:’READ’,’MASKED _ READ’(PII uchun andoza),’WRITE’(scoped),’APPROVE _’(4-eyes),’EXPORT’(faqat vitrinalar orqali, imzo/jurnal orqali).

5) Huquqlar muhandisligi «vazifadan foydalanishga»

1. User Story → Purpose: «Tahlilchi Yevropa Ittifoqining PIIsiz konversiya hisobotini tuzishi kerak».
2. Resurslar roʻyxati:’agg _ conversions _ eu’.
3. Operatsiyalar:’READ’(PIIsiz), taqiqlangan’EXPORT _ RAW’.
4. ABAC konteksti: ish soatlari, korp-VPN/MDM, mintaqa = EU.
5. TTL: doimiy masked-read; JIT (agar talab qilinsa).
6. Jurnallar:’READ ’/’ EXPORT’s’purpose’va’fields _ scope’.

6) Niqoblash va tanlab demakirlash

E-mail/telefonni/IBAN/PAN andoza ravishda yashirish;

Yashirilmagan kirish (’pii _ unmask’) - faqat JIT +’purpose’+ domen egasining tasdiqnomasi/Compliance;

Hisobotlarda - agregatlar/k-anonimlik, «kichik tanlov» ni taqiqlash (privacy thresholds).

7) Vaqtinchalik imtiyozlar: JIT va break-glass

JIT: 15-120 daqiqa, ro’yxatdan o’tish, avtomatik chaqirib olish, to’liq audit.
Break-glass: avariya holatida kirish (MFA + ikkinchi tasdiqlash, sessiya yozuvi, Security + DPO post-revyu).
PAM: maxfiy seyf, sessiya proksi, imtiyozlarni rotatsiya qilish.

8) Jarayonlar (SOP)

8. 1 Foydalanish imkoniyatini berish (IDM/ITSM)

1. Talabnoma’purpose’, resurslar, TTL/doimiylik bilan.
2. SoD/yurisdiksiya/ma’lumotlar/kontekstlar sinfini avtoproverlash.
3. Domen egasining roziligi; для Restricted+ — Security/Compliance.
4. Minimal sotib olish (koʻpincha masked-read).
5. Huquqlar reyestriga yozuv: qayta ko’rib chiqish sanasi, SLA sharh.

8. 2 Qayta sertifikatlash (quarterly)

Domen egasi har bir rol/guruhni tasdiqlaydi; foydalanilmayotgan huquqlar (> 30/60 kun) - avtomatik tarzda qaytarib olish.

8. 3 Maʼlumotlarni eksport qilish

Faqat tasdiqlangan vitrinalar orqali; formatlarning oq ro’yxatlari; imzo/xesh; tushirish jurnali; PII - andoza nomaʼlum.

9) Vendorlar/subprotsessorlarni nazorat qilish

Minimal API toʻplamlari, alohida per integratsiya kalitlari, allow-list IP, vaqt oynalari.
DPA/SLA: rollar, kirish jurnallari, retenshn, geografiya, hodisalar, subprotsessorlar.
Offbording: kalitlarni chaqirib olish, olib tashlashni tasdiqlash, yopish dalolatnomasi.

10) Audit va monitoring

Журналы: `ROLE_ASSIGN/REVOKE`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR:’purpose’dan foydalanish uchun alertlar, anormal hajmlar, vaqt oynasidan chiqish/geo, SoD buzilishi.
WORM: jurnallarning oʻzgarmas nusxasi + xesh-zanjirlar/imzolar.

11) Etuklik metrikasi (KPI/KRI)

Coverage: RBAC/ABAC ostidagi tanqidiy tizimlar% ≥ 95%.
Masked Reads Ratio: ≥ 95% PII murojaatlari yashirilgan.
JIT Rate: ≥ 80% huquqlar JITga o’xshaydi.
Offboarding TTR: huquqlarni chaqirib olish ≤ 15 daqiqa.
Exports Signed: 100% eksport imzolandi va chop etildi.
SoD Violations: = 0; urinishlar - avto-blok/chipta.
Dormant Access Cleanup: ≥ «osilgan» huquqlarning 98 foizi 24 soat ichida olib tashlanadi.

12) Namunaviy ssenariylar

A) VIP-mijoz uchun bir martalik KYC ko’rish

Asosiy: VIP-menejerda masked-read.
Amal qilish muddati: JIT-kirish’pii _ unmask’uchun 30 daqiqa, dalalar/skrin-log yozuvi, post-revyu.

B) Muhandisga prod-DBdan foydalanish kerak

Faqatgina PAM + JIT orqali ≤ 60 daqiqa, yozib olingan sessiya, qoidabuzarlik holatlarida «SELECT» PII, post-revyu va CAPA taqiqlangan.

C) Mamlakat bo’yicha kesilgan BI-hisobot

PIIsiz agregatlarga kirish; ABAC filtri:’region in [EEA]’, korp-VPN/MDM, soat 08: 00-21: 00.

13) Anti-patternlar va ulardan qanday qochish mumkin

«Superrollar «/chegarasiz meros → domen rollariga bo’lish, ABACni o’z ichiga olish.
Doimiy imtiyozlar → JIT + avtooʻchirish.
Prod-ma’lumotlarni dev/stage → taxallusiga/sintetikaga ko’chirish.
PII ni vitrinadan tashqarida eksport qilish → oq roʻyxatlar, imzo, jurnal, yashirish.
Yo’qligi’purpose’→ qattiq blok va avto-chipta.

14) RACI (yiriklashtirilgan holda)

AktivlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owners
Least Privilege siyosatiA/RCCCCCC
RBAC/ABAC/JIT dizaynCCA/RRRRC
Qayta sertifikatlashCCARRRR
Eksport/yashirishCARRRCC
Vendorlar/kontraktlarA/RCCCIII

15) Chek-varaqlar

15. 1 Kirishdan oldin

  • Koʻrsatilgan’purpose’va TTL
  • SoD/yurisdiksiyalar tekshiruvi o’tdi
  • Andoza niqoblash, minimal skoup
  • ABAC shartlari: tarmoq/qurilma/vaqt/mintaqa
  • Jurnallash va qayta ko’rib chiqish sanasi sozlangan

15. 2 Har chorakda

  • Rollar/guruhlarni taftish qilish, «osilgan» huquqlarni avtomatik tarzda qaytarib olish
  • Gʻayritabiiy eksport va break-glass
  • Maxfiylik/xavfsizlik bo’yicha tasdiqlangan ta’lim

16) Joriy etish yo’l xaritasi

1-2 haftalar: ma’lumotlar/tizimlarni inventarizatsiya qilish, tasniflash, asosiy rol matritsasi, andoza niqobni yoqish.
3-4 haftalar: ABAC (chorshanba/geo/MDM/vaqt), JIT va PAM, oq eksport ro’yxatlari,’purpose’jurnallari.
2-oy: offboarding avtomatlashtirish, SOAR-alertlar (’purpose ’/anomaliyasiz), choraklik qayta sertifikatlash.
3 + oy: atributlarni kengaytirish (KS darajasi/qurilma xavfi), privacy thresholds, muntazam tabletop mashqlari.

TL; DR

Least Privilege = minimal shpup + PII kamuflyaj + ABAC + JIT/PAM konteksti + qattiq audit va tezkor fikr. Foydalanishni boshqarishni ta’minlaydi, sizib chiqish/firibgarlik xavfini kamaytiradi va auditlarni tezlashtiradi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.