GH GambleHub

Vazifalarni ajratish va foydalanish darajalari

1) Maqsad va prinsiplar

Maqsadlar:
  • tanqidiy operatsiyalar ustidan yakka tartibdagi nazoratni (pul/PII/komplayens),
  • firibgarlik/xatolar xavfini kamaytirish,
  • regulyatorlar va ichki auditlar uchun tekshiruvni ta’minlash.

Tamoyillar: Zero Trust· Least Privilege· Need-to-Know· SoD (4-eyes)· Traceability· Revocability (tezkor chaqirib olish).

2) Ma’lumotlarni tasniflash va foydalanish darajalari

SinfNamunalarFoydalanishning bazaviy talablari
Publicsayt tarkibiavtorizatsiyasiz
InternalPIIsiz operatsion ko’rsatkichlarSSO, read-only roli
ConfidentialDWH hisobotlari (agregatlar)SSO + MFA, tasdiqlangan guruhlar
Restricted (PII/moliya)KYC/AML, tranzaksiyalar, RG-signallarABAC + JIT, dalalar jurnali, WORM-log
Highly Restrictedsirlar, ma’muriy konsollar, to’lov perimetriPAM, yozib olingan sessiyalar, izolyatsiya qilingan tarmoqlar
💡 Sinf ma’lumotlar/RoPA katalogida qayd etiladi va shifrlash, retenshn va eksport siyosatiga bog’lanadi.

3) Huquq modeli: RBAC + ABAC

RBAC: domen rollari (Support, VIP, Payments, AML, KYC, FRM, BI, DevOps, DPO, Legal).
ABAC: kontekstli atributlar (muhit, geografiya, ma’lumotlar sinfi, qurilma/MDM, vaqt, KYC darajasi, kirish maqsadi’purpose’, qurilma xavfi).

ABAC shartlari misoli: BI tahlilchisi «events _» ni faqat PIIsiz, faqat korporativ tarmoqdan/MDMdan, ish kunlari soat 08: 00-21: 00 da, faol maxfiylik bo’yicha trening mavjud bo’lgan taqdirda o’qishi mumkin.

4) SoD - mos kelmaydigan funksiyalar matritsasi

FunksiyaRuxsat berilganMos kelmaydigan (ajratishni talab qiladi/4-eyes)
Paymentsxulosalarni tasdiqlashfrodga qarshi qoidalar yoki VIP limitlarini o’zgartirish
Anti-Fraud (FRM)qoidalarni o’zgartirish, hold qo’yisho’z keshautlarini/chargeback yechimlarini ma’qullash
Compliance/AMLEDD/STR/SAR, KYC oʻqishDWH/xom loglarni to’liq eksport qilish
Support/VIPProfilni koʻrish (yashirilgan)MSK hujjatlaridan/xom tranzaksiyalardan foydalanish
Data/BIagregatlar/anonimlashtirishPII’purpose ’
DevOps/SREinfratuzilmani boshqarishPII bilan biznes jadvallarni oʻqish
Developersstage/dev, logi (maskir.) prod-PII
DPO/Privacyaudit, PII jurnallarOziq-ovqat huquqlarini o’zgartirish
💡 Pulga/PII/sanksiyalarga ta’sir etuvchi har qanday operatsiya ikki konturli ma’qullanadi (tashabbuskor ≠ tasdiqlovchi).

5) Foydalanish darajalari va turlari

Read-only/Masked Read: BI/Support uchun andoza.
Scoped Write: servis/reglament doirasidagi o’zgarishlar (masalan, keys bo’yicha izohlarni kiritish).
Privileged Admin: faqat PAM orqali (parol seyfi, sessiya proksi, sessiya yozuvi, sirlarni almashtirish).
API/Service Accounts: minimal skoplar, alohida per integratsiya kalitlari, mTLS.

6) JIT и break-glass

JIT (Just-in-Time): muayyan chipta uchun huquqlarni vaqtinchalik oshirish (15-120 daqiqa), avtomatik chaqirib olish, majburiy’purpose’.
Break-glass: MFA + ikkinchi tasdig’i bilan shoshilinch kirish, sessiya yozuvi, Security + DPO post-revyew, qoidabuzarlik holatlarida avtosanoat.

7) Jarayonlar (SOP)

7. 1 Soʻrov/foydalanishni oʻzgartirish (IDM/ITSM)

1. Talabnoma’purpose’bilan, muddati va ma’lumotlar egasi bilan.
2. SoD/ma’lumotlar/yurisdiksiya sinfini avtoproverlash.
3. Domen egasini tasdiqlash + Security (Restricted + uchun).
4. JIT/doimiy foydalanish imkoniyatini berish (minimal sotib olish).
5. Huquqlar reyestriga yozuv (qayta ko’rib chiqish sanasi, SLA chaqirib olish).

7. 2 Huquqlarni qayta sertifikatlash

Har chorakda egalari guruhlar/foydalanuvchilar huquqlarini tasdiqlaydi.
Foydalanilmayotgan huquqlarni avtomatik tarzda chaqirib olish (> 30/60 kun).

7. 3 Maʼlumotlarni eksport qilish

Faqat ma’qullangan vitrinalar/payplaynlar orqali; andoza niqoblash; adresatlar/formatlarning oq ro’yxatlari; imzo/xesh; tushirish jurnali.

8) Vendorlar/sheriklarni nazorat qilish

Alohida B2B-tenantlar, minimal API-skuplar, allow-list IP, vaqt oynalari.
DPA/SLA: kirish daftarlari, saqlash muddatlari, geografiya, hodisalar, subprotsessorlar.
Offbording: kalitlarni chaqirib olish, olib tashlashni tasdiqlash, yopish dalolatnomasi.

9) Xavfsizlik va komplayens bilan integratsiya

Audit trails: `READ_PII`, `EXPORT_DATA`, `ROLE_UPDATE`, `PAYMENT_APPROVE`, `BREAK_GLASS`.
SIEM/SOAR: g’ayritabiiy hajmlarga alertlar/’ purpose’’ga kirish/derazadan chiqish/geo.
GDPR/AML/PCI: Need-to-Know, DSAR mosligi, to’lov perimetri segregatsiyasi, jurnallar uchun WORM.

10) Misollar siyosati (parchalar)

10. 1 VIP-menejer siyosati

Profilni niqoblangan koʻrish, eksport qilishni taqiqlash, KYCni chipta orqali bir marta koʻrish uchun JIT.

10. 2 Marketing tahlilchisi uchun siyosat

Faqat PIIsiz agregatlar; MDM qurilmasidan rozilik mavjud bo’lganda ish soatlariga kirish.

10. 3 Psevdo-YAML ABAC

yaml policy: read_transactions_masked subject: role:bi_analyst resource: dataset:tx_
condition:
data_class: in [Confidential]
network: in [corp_vpn, office_mdm]
time: 08:00-21:00 workdays purpose: required effect: allow masking: on logging: audit_access + fields_scope

11) RACI

AktivlikCompliance/LegalDPOSecuritySRE/ITData/BIProduct/EngDomain Owner
SoD siyosati/foydalanish darajalariA/RCCCCCC
RBAC/ABAC dizaynCCA/RRRRC
JIT/PAM/break-glassIIA/RRICI
Qayta sertifikatlashCCARRRR
Eksport/yashirishCARRRCC

12) Metrika i KRIs/KPIs

Coverage ABAC: atribut qoidalari ostida kritik toʻplamlarning 95% ≥.
JIT-rate: Huquqlarning 80% ≥ oshirilishi JIT kabi.
Offboarding TTR: ishdan bo’shatilgan/deaktivatsiyadan o’tkazilgan vaqtdan boshlab 15 daqiqadan ≤ foydalanishni chaqirib olish.
’purpose’: = 0 (KRI).
Quarterly recertification: 100% rollar/guruhlar tasdiqlandi.
Export compliance: 100% eksport imzolandi/chop etildi.

13) Chek-varaqlar

13. 1 Kirishdan oldin

  • Aniqlangan’purpose’, muddat, ma’lumotlar egasi
  • SoD/yurisdiksiyalar/ma’lumotlar sinfi tekshiruvi o’tdi
  • Minimal qoplama + niqoblash kiritilgan
  • MFA/MDM/tarmoq shartlariga rioya qilindi
  • Sozlangan jurnallar va qayta koʻrib chiqish sanasi

13. 2 Har choraklik taftish

  • Guruhlarni/rollarni tashkiliy tuzilma bilan solishtirish
  • Foydalanilmayotgan huquqlarni qaytarib olish
  • Break-glass va yirik eksportni tekshirish
  • Oʻqishni tasdiqlash (privacy/security)

14) Namunaviy stsenariylar va chora-tadbirlar

A) Muhandisga prod-DBdan vaqtinchalik foydalanish kerak

JIT 30-60 min, PAM, post-revyu, qoidabuzarliklar bo’yicha CAPA orqali yozilgan sessiya.

B) Yangi affiliat o’yinchilarni tushirishni so’raydi

Faqat agregatlar/anonimlashtirish; agar PII - shartnoma, huquqiy asos, maydonlarning oq ro’yxati, jurnal/imzo, cheklangan havola muddati.

C) VIP menejeri KYC hujjatlarini ko’rishni xohlaydi

To’g «ridan to’g» ri kirishni taqiqlash; AML/KYC orqali so’rov, JIT orqali yakka tartibda berish, to’liq dala.

15) Joriy etish yo’l xaritasi

1-2 haftalar: tizimlar/ma’lumotlarni xatlovdan o’tkazish, tasniflash, bazaviy RBAC-matritsasi, birlamchi SoD-jadval.
3-4 hafta: ABAC (chorshanba/geo/sinf/MDM), JIT va break-glass joriy etish, PAMni ishga tushirish, eksport jurnallari.
2-oy: KS/to’lov perimetri segmentatsiyasi, alohida kalitlar/KMS, SoD/ABAC qoidabuzarliklari uchun SOAR-alertlar.
3 + oy: choraklik qayta sertifikatlash, atributlarni kengaytirish (qurilma/vaqt xavfi), niqoblashni avtomatlashtirish, muntazam tabletop-o’quv mashg’ulotlari.

TL; DR

Ishonchli kirish modeli = ma’lumotlarni tasniflash → RBAC + ABAC → SoD bilan 4-eyes → JIT/PAM va qattiq audit → muntazam ravishda qayta sertifikatlash va eksportni nazorat qilish. Bu suiiste’mol qilish ehtimolini kamaytiradi va audit/tartibga solish tekshiruvlaridan o’tishni tezlashtiradi.

Contact

Biz bilan bog‘laning

Har qanday savol yoki yordam bo‘yicha bizga murojaat qiling.Doimo yordam berishga tayyormiz.

Integratsiyani boshlash

Email — majburiy. Telegram yoki WhatsApp — ixtiyoriy.

Ismingiz ixtiyoriy
Email ixtiyoriy
Mavzu ixtiyoriy
Xabar ixtiyoriy
Telegram ixtiyoriy
@
Agar Telegram qoldirilgan bo‘lsa — javob Email bilan birga o‘sha yerga ham yuboriladi.
WhatsApp ixtiyoriy
Format: mamlakat kodi va raqam (masalan, +998XXXXXXXX).

Yuborish orqali ma'lumotlaringiz qayta ishlanishiga rozilik bildirasiz.