RBAC: rollar va ruxsatnomalarni boshqarish

1) RBACning maqsad va prinsiplari

Maqsad: pul/PIIni himoya qilish va talablarga (GDPR/AML/PCI/ISO) rioya qilish uchun boshqariladigan, tekshiriladigan va minimal hajmga ega bo’lish.
Tamoyillar: Least Privilege· Need-to-Know· Separation of Duties (SoD)· Zero Trust· Revocability (tezkor chaqirib olish)· Auditability (isbotlanishi).

2) Huquq va roli taksonomiyasi

• Maʼlumotlar:’READ’,’WRITE’,’EXPORT’,’DELETE’,’MASKED _ READ’(PII uchun andoza).
• Операции: `APPROVE_WITHDRAWAL`, `CHANGE_FRM_RULE`, `KYC_DECISION`, `SANCTIONS_OVERRIDE`.
• Админ: `ROLE_UPDATE`, `USER_PROVISION`, `SECRET_ROTATE`, `BREAK_GLASS`.
• Integratsiyalar:’API _ CALL:’,’WEBHOOK _ SIGN’,’SERVICE _ CONFIG _ UPDATE’.

• Core (сквозные): `employee_basic`, `viewer_internal`, `auditor_privacy`.
• Доменные: `support_agent`, `vip_manager`, `payments_ops`, `aml_officer`, `kyc_operator`, `fraud_analyst`, `rg_specialist`, `bi_analyst`.
• Tizim/texnik:’devops _ admin’,’dba _ admin’,’service _ account _’,’read _ only _ prod’.
• Imtiyozli (PAM/JIT orqali):’break _ glass _ admin’,’prod _ db _ jit _ editor’.

3) Rollarni loyihalash (role engineering)

1. Resurslar inventarizatsiyasi: tizimlar/jadvallar/endpointlar, ma’lumotlar klasslari (Public/Internal/Confidential/Restricted/Highly Restricted).
2. User stories funksiyalari boʻyicha: kim nima qiladi va nima uchun (purpose).
3. Vazifalar → permissions mapping: har bir funksiya uchun minimal to’plam.
4. Rolda guruhlash: bitta rol = bitta javobgarlik domeni; «superrollardan» qochish.
5. Test SoD: nomuvofiqliklarni tekshirish (masalan,’payments _ ops’≠’fraud _ rule _ admin’).
6. Uchuvchi va o’lchov: vaqtincha cheklangan guruhga beramiz, auditorlik izini yig’aymiz.
7. Version: rolning har bir oʻzgarishi - changelog bilan CAB orqali.

4) RBAC ABAC (SoD) ning o’zaro hamkorligi

RBAC «printsipial jihatdan kim qila oladi», ABAC - «qanday sharoitda» (muhit, geo, qurilma/MDM, vaqt, KYC darajasi,’purpose’) javob beradi.
SoD xavfli rollarni taqiqlaydi va tanqidiy harakatlar uchun 4-eyes talab qiladi.
Amaliyot: andoza rollar PII ga MASKED_READ beradi; yashirilmagan kirish uchun’purpose’+ JIT atributi va ABAC siyosatining ijobiy yechimi talab etiladi.

5) Ko’p ijarali va geo-kontekst

Tenant-scope: rollar ijara/brend/yurisdiksiyaga bogʻlanadi (’role: payments _ ops @EEA’).
Geo-keys: alohida shifrlash kalitlari va per mintaqa kirish segmentlari (EC/UK/...).
Granularity:’region _ code’(RLS) ustuni va oʻyinchining yurisdiksiyasi boʻyicha filtrlash.

6) Row/Column-Level Security va niqoblash

• RLS (satrlar): faqat mamlakat/brend/jamoa yozuvlaridan foydalanish.
• CLS (ustunlar): sezgir maydonlar yashirin holda mavjud; maskalanmagan holda - faqat’pii _ unmask’+’purpose’imtiyozlari bilan.

sql
CREATE POLICY rls_tx
ON dwh. transactions
USING (region_code = current_setting('app. region'));

SELECT
CASE WHEN has_priv('pii_unmask') THEN email ELSE mask_email(email) END AS email_view
FROM dwh. users;

7) JIT, break-glass и PAM в RBAC

JIT: vaqtinchalik imtiyozli rol (15-120 daqiqa); avtomatik chaqirib olish; to’liq audit.
Break-glass: MFA + ikkinchi tasdig’i va sessiya yozuvi bilan avariya holatida kirish; Security + DPO bilan post-revyu.
PAM: maxfiy saqlash, sessiya proksi, maxfiy soʻz/kalitlarni almashtirish.

8) Rollarning hayot sikli (SOP)

SOP-1: Rolni yaratish/oʻzgartirish

1. Domen egasining soʻrovi → vazifalar roʻyxati → mapping permissions → SoD-chek → uchuvchi → CAB → reliz + hujjatlar.

SOP-2: So’rov va foydalanish imkoniyatini berish

1. Ariza (IDM/ITSM)’purpose’va muddati → SoD/yurisdiksiya avto-tekshiruvi → ma’lumotlar egasining ma’qullanishi + Security (Restricted + uchun) → berish (ko’pincha JIT) → reyestrga yozish.

SOP-3: Sharh/offbording

Triggerlar: ishdan bo’shatish, rolni o’zgartirish, faollik yo’qligi> 30/60 kun, JIT muddati tugadi.
Avtomatik sharh va jurnal.

SOP-4: Qayta sertifikatlash

Har chorakda egalari foydalanuvchilarning rollari hamon zarurligini tasdiqlaydilar; tizim «osilgan» huquqlarni olib tashlaydi.

9) Rol matritsasining namunasi (parcha)

10) Asboblar va sotish (patternlar)

Rollar katalogi kod sifatida: YAML/JSON + CI-validatorlar, changelog.
Markaziy IdP/SSO: SCIM-provizing, guruh mappinglari’group → role’.
Policy decision point: kontekst atributlari boʻlgan siyosat (ABAC) dvigateli.
Secrets/KMS: per chorshanba/region/tenant.
Data gateway: DWH/BI/eksport uchun yagona niqob/audit qatlami.
SIEM/SOAR: korrelyatsiya’ROLE _ UPDATE ’/’ READ _ PII ’/’ EXPORT _ DATA’, avto-tiketlar.

11) Audit va jurnallashtirish

Обязательные события: `ROLE_ASSIGN`, `ROLE_REVOKE`, `ROLE_UPDATE`, `BREAK_GLASS`, `JIT_GRANT`, `READ_PII`, `EXPORT_DATA`, `PAYMENT_APPROVE`, `KYC_DECISION`.
Talablar: WORM nusxasi, xesh-zanjirlar, paketlarning imzosi, har bir voqeada’purpose ’/’ ticket _ id’, taym-sinxronizatsiya.

12) Metrika va KPI/KRI

Coverage:% RBAC tizimlari ≥ 95%.
SoD violations: = 0; mos kelmaydigan rollarni o’zlashtirishga urinishlar - avto-blok.
JIT rate: ≥ 80 foizi JIT kabi.
Offboarding TTR: huquqlarni chaqirib olish ≤ 15 daqiqa.
Masked reads ratio: ≥ 95% PII murojaatlari yashirilgan.
Recertification: 100% rollar har chorakda tasdiqlangan.
Exports signed: 100% eksport imzo/jurnal bilan.

13) RACI (yiriklashtirilgan holda)

14) Chek-varaqlar

Rolni yaratishdan oldin

• User-stories va’purpose’tomonidan tasvirlangan
• Resurslar va ma’lumotlar klasslari ro’yxati
• Mapping minimal permissions
• SoD tekshiruvi/mojarolari
• Kamuflyaj siyosati va RLS/CLS
• Qayta sertifikatlash rejasi va egalari

Foydalanishdan oldin

• Belgilangan’purpose’va muddat
• SoD/yurisdiksiyalar/MDM/MFA bajarildi
• Andoza niqoblash, koʻtarilganda JIT
• Qayta ko’rib chiqish jurnali va sanasi kiritilgan

15) Tez-tez xatolar va anti-patternlar

Kichik domenlar o’rniga keng huquqli «Superrollar».
Yashirmasdan PIIga toʻgʻridan-toʻgʻri kirish va’purpose’.
’PAYMENT _ APPROVE ’/’ KYC _ APPROVE’ uchun SoD/to’rtinchi ko’zning yo’qligi.
Vaqtinchalik huquqlarni «abadiy» uzaytirish.
Prod maʼlumotlarini dev/stage ga nusxa olish.
Imzosiz va jurnalsiz shaffof bo’lmagan eksport.

16) Joriy etish yo’l xaritasi

1-2 haftalar: resurslarni inventarizatsiya qilish/ma’lumotlarni tasniflash; rollarning qoralama matritsasi; SoD jadvali.
3-4 haftalar: RBAC kod (repozitoriy), IdP guruhlari/SCIM, ABAC dvigateli (asosiy atributlar: muhit/geo/MDM/vaqt), JIT/PAM, DWH/BI uchun niqob qatlami sifatida.
2-oy: qayta sertifikatlash, offboarding avtomatlashtirish, RBAC/SoD/ABAC qoidabuzarliklari uchun SOAR-alertlar, eksport/WORM jurnallari.
3 + oy: atributlarni kengaytirish (qurilma xavfi, KYC darajasi), kirish bias-auditlari, qiymatni optimallashtirish va muntazam tabletop-mashqlar.

TL; DR

Kuchli RBAC = kichik domen rollari + atribut shartlari (ABAC) + SoD va JIT/PAM + niqoblash va RLS/CLS + qattiq audit va qayta sertifikatlash. Bu sizib chiqish/suiiste’mol qilish xavfini kamaytiradi, auditni tezlashtiradi va platformani maxfiylik va komplayens talablari chegarasida saqlaydi.