Bank infratuzilmasida Active Directory domen nazoratchisi xavfsizligi: ISO/IEC 27001, NIST SP 800-53 va PCI DSS talablari asosidagi tahlil
Annotatsiya (o‘zbek): Ushbu ilmiy maqolada bank axborot infratuzilmasida Active Directory (AD) domen nazoratchisi xavfsizligi xalqaro axborot xavfsizligi standartlari – ISO/IEC 27001, NIST SP 800-53 va PCI DSS – talablari asosida chuqur tahlil qilinadi. AD domen nazoratchisi bank tizimida markaziy autentifikatsiya va ruxsatnomalarni boshqaruvchi asosiy bo‘g‘in bo‘lib, uning buzilishi butun korporativ tarmoqni xavf ostiga qo‘yadi. Maqolada har bir standart nuqtai nazaridan AD xavfsizligini ta’minlashga doir texnik va tashkiliy choralar, jumladan, identifikatsiya va autentifikatsiya, imtiyozli huquqlarni boshqarish, jurnalizatsiya va monitoring, zaxiralash va uzluksizlik rejalari, hamda fizik xavfsizlik masalalari yoritiladi. Standartlarning talablariga muvofiq ravishda AD uchun himoya choralarining solishtirma tahlili jadval ko‘rinishida taqdim etiladi. Yakuniy qismda banklar uchun amaliy tavsiyalar berilib, AD domen nazoratchilarini himoyalash orqali muhim ma’lumotlar va xizmatlarning yaxlitligi, maxfiyligi hamda uzluksizligini ta’minlash bo‘yicha xulosalar keltiriladi.
Аннотация (русский): В данной научной статье проводится глубокий анализ безопасности контроллера домена Active Directory (AD) в банковской инфраструктуре на основе требований международных стандартов информационной безопасности – ISO/IEC 27001, NIST SP 800-53 и PCI DSS. Контроллер домена AD выступает ключевым элементом, управляющим аутентификацией и доступом в банковской ИТ-системе, и его компрометация ставит под угрозу всю корпоративную сеть. В статье для каждого стандарта рассматриваются технические и организационные меры обеспечения безопасности AD, включая управление идентификацией и аутентификацией, контроль привилегированных прав, ведение журналов событий и мониторинг, резервное копирование и планы непрерывности, а также физическую безопасность. Приводится сравнительный анализ требований стандартов и реализуемых через AD мер защиты в виде таблицы. В заключительной части представлены практические рекомендации для банков и сделаны выводы о необходимости комплексной защиты контроллеров домена AD для обеспечения целостности, конфиденциальности и непрерывности критически важных данных и сервисов.
Annotation (English): This scientific article presents an in-depth analysis of Active Directory (AD) domain controller security in a banking infrastructure based on the requirements of international information security standards – ISO/IEC 27001, NIST SP 800-53, and PCI DSS. The AD domain controller is a critical component managing authentication and access in bank IT systems, and its compromise can jeopardize the entire corporate network. For each standard, the article examines the technical and organizational measures to secure AD, including identity and authentication management, privileged access control, event logging and monitoring, backup and continuity planning, as well as physical security considerations. A comparative analysis is provided in tabular form, mapping the standards’ requirements to security measures implemented via AD. The final section offers practical recommendations for banks and concludes that robust protection of AD domain controllers is essential to ensure the integrity, confidentiality, and continuity of critical banking data and services.
Kirish
Bank axborot texnologiyalari infratuzilmasida Active Directory (AD) domeni va uning nazoratchilari markaziy rol o‘ynaydi. AD domen nazoratchisi foydalanuvchilar va xizmatlar uchun autentifikatsiya va avtorizatsiya funksiyalarini ta’minlab, tarmoq resurslariga kirishni boshqaradi. Bank tizimlarida barcha xodimlar, serverlar va ilovalar AD orqali yagona identifikatsiya tizimiga bog‘langan bo‘lib, bu integratsiya operatsion qulaylik yaratadi. Biroq, aynan AD infratuzilmasi kiberhujumchilar uchun asosiy nishonlardan biridir – tadqiqotlar ko‘rsatishicha, moliyaviy tashkilotlarga bo‘ladigan buzilishlarning aksariyatida AD vosita sifatida ishtirok etadi va u global moliya sektorining 90%ida identifikatsiya xizmati sifatida joriy etilgani sababli hujumchilar imtiyozli huquqlarni qo‘lga kiritish maqsadida ADga tashlanadilar. Domen nazoratchisi egallangan taqdirda hujumchi Active Directory ma’lumotlar bazasini o‘zgartirishi yoki yo‘q qilishi, natijada butun domen bo‘ylab tizim va akkauntlarni izdan chiqarishi mumkin. Shu bois, AD domen nazoratchilarini himoya qilish masalasi banklar uchun favqulodda muhimdir va u bir qator xalqaro axborot xavfsizligi standartlarida o‘z aksini topgan.
Ushbu maqolada AD domen nazoratchisi xavfsizligi bo‘yicha chora-tadbirlar ISO/IEC 27001, NIST SP 800-53 va PCI DSS standartlari talablari nuqtai nazaridan tahlil qilinadi. Bu standartlar bank muhitida axborot xavfsizligini boshqarish va texnik himoya choralari uchun yo‘riqnomalar beradi. ISO/IEC 27001 standarti axborot xavfsizligi menejment tizimi (AXMT)ni yo‘lga qo‘yish orqali tashkilotda xavfsizlik siyosatlarini va nazoratlarini joriy etishni talab qiladi. NIST SP 800-53 esa AQSh milliy standarti bo‘lib, axborot tizimlari uchun batafsil xavfsizlik va maxfiylik nazoratlari katalogini taqdim etadi. PCI DSS standarti esa to‘lov kartalari ma’lumotlarining xavfsizligini ta’minlashga qaratilgan maxsus talablar to‘plamidir va banklar ushbu standarta rioya qilishi shart bo‘ladi (agar to‘lov kartalari bilan ishlashsa). Maqola davomida har bir standart doirasida AD domen nazoratchilarini himoyalash bo‘yicha texnik choralar (masalan, tizim sozlamalari, dasturiy vositalar va infrastruktura) hamda tashkiliy choralar (masalan, siyosatlar, protseduralar, nazorat jarayonlari) batafsil ko‘rib chiqiladi.
ISO/IEC 27001 standarti asosida Active Directory xavfsizligi
ISO/IEC 27001:2022 standarti axborot xavfsizligi menejment tizimini (AXMT) joriy etish va uni doimiy takomillashtirishga qaratilgan bo‘lib, unda xavfsizlik nazoratlari ro‘yxati Annex A shaklida berilgan. AD domen nazoratchisini himoyalash ushbu standartning bir nechta nazorat sohalariga tegishlidir: kirishni boshqarish (A.9), kriptografiya (A.10), operatsion xavfsizlik (A.12), tizimlarni saqlash va texnik xizmat (A.13/A.14), avariya holatlariga tayyorgarlik (A.17) va boshqalar. ISO/IEC 27001 texnik choralarni joriy etish bilan birga, ushbu choralarni rasmiy tartib-qoidalar bilan mustahkamlashni talab qiladi.
1-rasm: Active Directory domen nazoratchisi xavfsizligi konsepsiyasi – xalqaro standartlar bilan bog‘liqligi (ISO/IEC 27001, texnik va tashkiliy choralar, kirish nazorati
Texnik choralar: ISO 27001 ning A.9 – Kirish nazorati talablariga muvofiq, AD’da foydalanuvchilarni ro‘yxatdan o‘tkazish va o‘chirish uchun rasmiy jarayon joriy etilishi lozim, va har bir foydalanuvchiga faqat o‘z xizmat vazifasiga mos minimal huquqlar berilishi kerak (least privilege printsipi). Active Directory bu borada guruh va rol asosidagi ruxsatnomalarni boshqarish imkonini beradi, bu orqali xodimlarga faqat ishiga tegishli tizimlargagina kirish huquqi beriladi. Parol siyosatlari ISO standarti bo‘yicha qat’iy bo‘lishi talab etiladi (masalan, A.9.4.3 – parollarni boshqarish); AD Group Policy vositalari orqali parollar uzunligi, murakkabligi va muddatini boshqarish tatbiq etiladi. Shu bilan birga, yuqori imtiyozli AD administratorlari uchun ko‘pfaktorlu autentifikatsiya (MFA) talab etilishi ISO 27001 tavsiyalariga (A.9.2 – foydalanuvchi identifikatsiyasi) muvofiq yuqori darajadagi himoya qatlamini ta’minlaydi. A.12 – Operatsion xavfsizlik doirasida AD domen nazoratchilarida to‘liq jurnalizatsiya yo‘lga qo‘yilishi va tizim voqealari doimiy yozib borilishi lozim (masalan, kirishlar, muvaffaqiyatsiz login urinishlari va boshqalar). Bu log-fayllar muntazam tahlil qilinishi kerak – ISO 27001 bu jarayonni formal ravishda hujjatlashtirish va belgilangan chastotada amalga oshirishni talab qiladi. Yana bir muhim texnik chora – zaifliklarni boshqarish va yamalash (A.12.6). Standart talabiga binoan, Active Directory domen nazoratchilari operatsion tizimi va u bilan bog‘liq dasturlar muntazam ravishda yangilanishi, xavfsizlik yamolari o‘z vaqtida o‘rnatilishi lozim. AD infrastrukturasida eski va qo‘llab-quvvatlanmaydigan versiyalar qoldirilmasligi, agar legacy tizimlar mavjud bo‘lsa, ularni izolatsiya qilish yoki modernizatsiya qilish tavsiya etiladi. Kriptografiya bo‘yicha A.10 talablari esa AD’da ma’lumotlar uzatishda va saqlashda shifrlashni qo‘llashni nazarda tutadi: masalan, LDAP protokolini LDAP(S) – SSL/TLS bilan himoyalangan shaklda ishlatish, Kerberos autentifikatsiyasida kuchli shifrlash algoritmlarini majburiy qilish va Domain Controller serverlarida ma’lumotlarni shifrlangan holda saqlash uchun BitLocker kabi vositalardan foydalanish. BitLocker yordamida domen nazoratchisining disklarini shifrlash, hatto serverdan qattiq disk o‘g‘irlangan taqdirda ham, undagi Active Directory ma’lumotlarini himoyalashi mumkinligi standartlarning maxfiylik talablariga javob beradi.
Tashkiliy choralar: ISO/IEC 27001 faqat texnik yechimlargagina emas, balki tashkiliy jarayonlarga ham katta e’tibor qaratadi. Masalan, A.9.2 – Foydalanuvchi kirishining ro‘yxatdan o‘tkazilishi va olib tashlanishi nazorati talabiga binoan, bank muassasasi AD foydalanuvchi akkauntlarini yaratish, ularning roliga muvofiq huquqlarini tayinlash va ishdan ketgan yoki vazifasi o‘zgargan xodimlarning akkauntlarini o‘z vaqtida deaktiv qilish uchun rasmiy protsedurani ishlab chiqishi va hujjatlashtirishi zarur. Bunday protseduralar amalda qat’iy bajarilishi lozim – mas’ul shaxslar belgilab qo‘yiladi va har bir akkaunt o‘zining hayotiy tsiklida (yaratish, o‘zgartirish, o‘chirish) nazorat ostida bo‘ladi. A.12.4 – Jurnalizatsiya va monitoring bo‘yicha tashkilot jurnal yozuvlarini ko‘rib chiqish tartibini va davriyligini belgilab, hujjatlashtirishi kerak (masalan, xavfsizlik bo‘limi haftasiga bir marta AD tizimining muhim hodisalar jurnalini tahlil qiladi). ISO 27001 shuningdek, A.17 – Axborot xavfsizligining uzluksizligi talablari orqali axborot qayta ishlash vositalari yuqori darajada mavjud bo‘lishini talab qiladi. Bu, Active Directory uchun, muntazam zaxiralash (backup) va avariya holatlarida tiklash rejasiga ega bo‘lishni anglatadi. Bank axborot tizimlarida AD domen nazoratchilarining to‘liq zaxira nusxalari (System State backup va boshqalar) muntazam olib borilishi, ularning yaxlitligi va ishlashi vaqti-vaqti bilan sinovdan o‘tkazilishi lozim. Standart talablariga muvofiq, ushbu jarayonlar va umuman AD’ni yuritish bo‘yicha barcha siyosat va proseduralar (masalan, foydalanuvchi huquqlarini berish tartibi, AD konfiguratsiyasiga o‘zgartirishlar kiritish jarayoni, zaxiralash va tiklash bo‘yicha qo‘llanmalar) hujjatlashtirilgan bo‘lishi va doimiy ravishda yangilanib borilishi shart. ISO/IEC 27001 doirasida kadrlar xavfsizligi ham muhim – AD’ga yuqori huquqli kirish imkoniga ega administratorlar uchun maxsus tekshiruv (background check) va ularning roliga mos xavfsizlik bo‘yicha malaka talablari qo‘yilishi mumkin. Umuman olganda, ISO 27001 standarti banklarga AD domeni xavfsizligini boshqarishda tizimli yondashuvni taklif qiladi: ya’ni siyosatlar va jarayonlar orqali texnik choralarni tartibga solish, doimiy ichki audit va baholashlar orqali zaifliklarni aniqlab, tuzatib borish (PDCA – rejalashtir, amalga oshir, tekshir, takomillashtir sikli). Bu yondashuv natijasida Active Directory muhitida aniqlangan har qanday kamchiliklar qayd etilib, muvofiqlik doim nazoratda bo‘ladi.
NIST SP 800-53 standarti asosida Active Directory xavfsizligi
NIST SP 800-53 (Rev.5) – bu AQSh Milliy Standartlar va Texnologiya Instituti tomonidan ishlab chiqilgan, axborot tizimlari va tashkilotlar uchun xavfsizlik va maxfiylik nazoratlari katalogi hisoblanadi. Mazkur katalogda turli xavf-xatarlardan himoyalanish uchun yuzlab nazorat choralari tasniflangan bo‘lib, banklar kabi yuqori talabga ega sohalar ushbu nazoratlardan tegishlilarini tanlab joriy etadilar. Active Directory bilan bog‘liq xavfsizlik choralarini NIST SP 800-53 ning bir nechta nazorat oilalari (family)da ko‘rish mumkin: AC (Access Control), IA (Identification and Authentication), AU (Audit and Accountability), CM (Configuration Management), SI (System and Information Integrity), PE (Physical and Environmental Protection), IR (Incident Response) va SA (System & Services Acquisition) kabi. NIST yondashuvi ISO 27001 ga nisbatan ancha batafsil va texnik tavsiyalarni o‘z ichiga oladi. Quyida NIST SP 800-53 talablariga muvofiq AD domen nazoratchilarini himoyalashga oid asosiy choralar texnik va tashkiliy nuqtai nazardan bayon etiladi:
Texnik choralar: Kirish nazorati (AC) oilasida, masalan, AC-2 (Account Management) va AC-3 (Access Enforcement) kabi nazoratlar AD foydalanuvchi akkauntlarini butun hayotiy davri davomida boshqarishni talab qiladi: yangi akkaunt yaratishda tasdiqlash, ortiqcha huquqlarni cheklash, eski yoki keraksiz akkauntlarni o‘z vaqtida o‘chirish va h.k. Active Directory bunday boshqaruvni guruh siyosatlari va avtomatlashtirilgan skriptlar vositasida qo‘llab-quvvatlaydi. AC-5 (Separation of Duties) va AC-6 (Least Privilege) nazoratlari muhim tizim vazifalarini bir kishiga to‘liq bog‘lamaslik, imtiyozli vazifalarni ajratishni va foydalanuvchilarga eng minimal yetarli huquqlar berilishini ta’minlashga qaratilgan – bular AD’da administrator rollarini ajratish va maxsus ma’muriy guruhlar (masalan, Domain Admins, Server Operators, Account Operators) sonini cheklash orqali tatbiq etiladi. IA (Identifikatsiya va autentifikatsiya) oilasidagi IA-2 nazorati barcha foydalanuvchilar tizimga kirishda ishonchli autentifikatsiyadan o‘tishini talab qiladi, shu jumladan kuchli parollar va ko‘p-omilli autentifikatsiya (MFA) yuqori imtiyozli hisoblar uchun. NIST SP 800-53 Rev.5 ning IA-2 (1) nazorati aynan privilegiyali akkauntlar uchun multifaktorlu autentifikatsiyani tatbiq etishni nazarda tutadi. Bank infratuzilmasida domen nazoratchisiga masofadan (remotely) kirishda yoki konsolsiz kirishda (masalan, RDP orqali) ham MFA qo‘llash talab qilinadi – bu PCI DSS ham talab qiladigan chora (quyida batafsilroq). AU (Audit and Accountability) oilasi Active Directory voqealarini to‘liq audit qilish va yozib borish (AU-2 Audit Events), ushbu audit yozuvlarini muntazam ko‘rib chiqish (AU-6 Audit Review), hamda loglar yaxlitligini himoyalash (AU-9 Protection of Audit Information) kabi choralarni o‘z ichiga oladi. AD domen nazoratchilarida “Windows Security Log” va “Directory Service Log” kabi loglar yoqilgan bo‘lishi va barcha muhim tadbirlar (yangi foydalanuvchi qo‘shilishi, huquqlar o‘zgarishi, muvaffaqiyatsiz loginlar va h.k.) yozilishi lozim. NIST tavsiyalariga ko‘ra, ushbu loglar markaziy yig‘uvchi serverga yoki SIEM tizimiga yuborilib, uzoq muddat saqlanishi kerak – bu AU-4 (Audit Log Storage Capacity) va SI-4 (System Monitoring) kabi nazoratlar bilan bog‘liq. Log ma’lumotlarini o‘zboshimchalik bilan o‘chirib yuborilishdan himoya qilish uchun cheklangan huquqlar o‘rnatilishi va zaxiy kopiya saqlanishi zarur. CM (Konfiguratsiyani boshqarish) bo‘yicha, CM-2 (Baseline Configuration) va CM-6 (Configuration Settings) nazoratlari muvofiq ravishda AD tizimlarining xavfsiz sozlama-andozalarini belgilash va ularga amal qilinishini tekshirishni taqozo etadi. Bunga misol tariqasida, domen nazoratchisi Windows Server OS uchun qabul qilingan xavfsizlik sozlamalari (masalan, registr kalitlari, xizmatlar holati, portlar va protokollar) bo‘yicha andoza (baseline) tuzilib, Group Policy orqali tatbiq etilishi va muntazam ravishda bu sozlamalardan og‘ishlar tekshirib borilishi mumkin. SI (Tizim va axborot yaxlitligi) oilasidagi SI-2 (Flaw Remediation) AD serverlarida paydo bo‘ladigan zaifliklarni aniqlash va tuzatishni (patch management) talab qiladi – bu yuqorida ISO kontekstida ko‘rsatilgan yamalash jarayoniga muvofiq. Bundan tashqari, SI-3 (Malicious Code Protection) nazorati har bir domen nazoratchisida hamda butun domen bo‘ylab barcha server va ishchi stansiyalarda yangilangan antivirus/antimalware vositalarini o‘rnatishni talab qiladi. Bu choralar zararli dasturlarning AD infrastrukturasiga kirishini yoki unda yashirinib faoliyat yuritishini oldini oladi. SC (System and Communications Protection) oilasida Active Directory uchun dolzarb choralar – SC-7 (Boundary Protection) tarmoqlararo himoya choralarini ko‘zda tutadi: domen nazoratchilari va AD xizmatlariga tashqi tarmoqlardan to‘g‘ridan-to‘g‘ri kirishni qat’iyan cheklash, ma’lumotlar markazi segmentatsiyasi orqali domen nazoratchilarini umumiy tarmoqdan ajratish. Banklarda odatda domen nazoratchilari uchun alohida VLAN yoki tarmoq zonasi ajratiladi va unga faqat ma’lum xizmatlar (masalan, replika sync, Kerberos/LDAP so‘rovlariga) ruxsat beriladi – bu amaliyot NIST nazoratlariga ham, PCI DSS talablari (1-yo‘riqnoma)ga ham javob beradi. PE (Physical and Environmental) nazoratlar domen nazoratchilarining jismoniy himoyasini qamrab oladi: PE-3 (Physical Access Control) talabiga binoan serverlar faqat ruxsatli shaxslarga maxsus qulfli server xonalarda saqlanishi lozim. Microsoft tavsiyalarida ma’lumotlar markazida domen nazoratchilarini alohida, umumiy serverlardan ajratilgan qulflanuvchi stendlarda joylashtirish va ularni apparat darajasida ham himoyalash masalasi qayd etiladi. Shuningdek, NIST PE-18 (Location of System Components) nazorati masofaviy filiallardagi domen nazoratchilar uchun ham himoya choralarini ko‘rishni talab qiladi (masalan, Read-Only Domain Controller – faqat o‘qish huquqli nazoratchilarni qo‘llash). IR (Incident Response) doirasida IR-4 (Incident Handling) va IR-8 (Incident Response Plan) nazoratlari Active Directory muhitida yuz beradigan kiberhodisalarga tayyor bo‘lishni nazarda tutadi: ya’ni domen nazoratchisi buzilganda yoki AD’da buzilish alomatlari ko‘ringanda (masalan, noma’lum yangi admin akkauntlar paydo bo‘lishi, katalog ma’lumotlarining o‘zgartirilishi va hokazo) tezkor choralar ko‘rish rejalari ishlab chiqilgan bo‘lishi kerak. Bunga muvofiq, bank hodisalarga javob berish rejasi doirasida AD buzilishi ssenariylarini ham qamrab olishi, masalan, yaxshi zaxiradan tiklash tartibi, KRBTGT parolini yangilash va butun domen bo‘ylab parollarni majburan o‘zgartirish kabi choralarni ko‘rishi lozim.
Tashkiliy choralar: NIST SP 800-53 talablari orasida ko‘plab tashkiliy masalalar ham bor. Masalan, AT (Awareness and Training) oilasi xodimlarni axborot xavfsizligi bo‘yicha muntazam o‘qitishni talab qiladi (AT-2, AT-3) – bu ayniqsa AD ma’murlari va IT xodimlari uchun muhim, chunki inson omili ko‘plab hujumlarning kirish nuqtasi bo‘ladi. PS (Personnel Security) nazoratlari bo‘yicha, yuqori imtiyozli AD administratorlarini ishga qabul qilishdan avval tekshiruvlar o‘tkazish (PS-3 Personnel Screening) va ularning majburiyatlarini rasmiylashtirish talab etiladi. PL (Planning) va PM (Program Management) kabi bo‘limlar esa tashkilot darajasida xavfsizlik siyosatlarini ishlab chiqishni (PM-1 Information Security Program Plan) hamda unga rahbariyat tomonidan egalikni belgilashni nazarda tutadi. Active Directory xavfsizligini boshqarish shu umumiy dastur doirasida amalga oshishi lozim: mas’ul shaxslar (masalan, Axborot xavfsizligi direktori yoki AD xizmatiga egalik qiluvchi IT menejer) belgilab qo‘yiladi. NIST SP 800-53 bir qator nazoratlarida uchinchi tomon vositalarini jalb qilish ham eslatib o‘tiladi, masalan, SIEM tizimi (Security Information and Event Management) orqali loglarni real vaqt rejimida tahlil qilish, yoki sirtqi (external) monitoring xizmatlarini ulash. Bundan tashqari, CA (Security Assessment and Authorization) oilasi doirasida belgilangan vaqt oralig‘ida AD tizimiga mustaqil xavfsizlik baholari, auditlar o‘tkazish talab etiladi (masalan, CA-2 – Security Assessments). Bu auditlar AD konfiguratsiyasining siyosatlarga muvofiqligini, zaifliklarning mavjud yoki yo‘qligini aniqlab beradi. NIST nazoratlari shuningdek, **kontinjuellik rejalashtirish (CP)**ga katta urg‘u beradi: CP-9 (System Backup) va CP-10 (Recovery and Reconstitution) nazoratlari AD ma’lumotlar bazasini va tizim holatini doimiy zaxiralash hamda favqulodda vaziyatlardan keyin tiklash jarayonlarini rejalashtirishni talab qiladi – bu ISO 27001 A.17 bandiga ham hamohang choralar.
Umuman, NIST SP 800-53 standarti Active Directory domen nazoratchilari himoyasini ta’minlash uchun “mudofaa qatlamlari” yondashuvini tavsiya qiladi: tarmoq darajasidan (firewall, tarmoq segmentatsiyasi) tortib, sistemalar darajasi (OS yangiligi, konfiguratsiya qoidalari), ilova darajasi (AD konfiguratsiya va xizmat sozlamalari), foydalanuvchi darajasi (trening va monitoring) hamda jarayonlar darajasigacha (insidentlarga tayyorgarlik, doimiy audit) chuqurlashtirilgan himoya choralarini joriy etish kerak bo‘ladi. Bunday kompleks yondashuv bankning AD muhitini nafaqat standartlarga muvofiq holga keltiradi, balki zamonaviy tahdidlar qarshisida barqarorligini oshiradi.
PCI DSS standarti asosida Active Directory xavfsizligi
Payment Card Industry Data Security Standard (PCI DSS) – to‘lov kartalari ma’lumotlarini saqlovchi, uzatuvchi yoki qayta ishlovchi tashkilotlar uchun majburiy bo‘lgan xavfsizlik standarti hisoblanadi. Banklarda to‘lov kartalari infrastrukturasini yuritishda, ayniqsa karta egasi ma’lumotlari muhiti (cardholder data environment, CDE)da Active Directory’dan keng foydalaniladi. PCI DSS talablari juda aniq va texnik jihatdan batafsil bayon etilgan bo‘lib, ulardan bir nechtasi to‘g‘ridan-to‘g‘ri identifikatsiya va kirishni boshqarish, tizim monitoringi va boshqa AD bilan bog‘liq funksiyalarga taalluqlidir. PCI DSS v4.0 standarti 12 ta asosiy talabdan iborat bo‘lib, quyida AD domen nazoratchilari uchun eng dolzarb bo‘lgan yo‘riqnomalar va ularga muvofiq choralar keltiriladi:
- Talab 2: Tizim va xizmatlarni xavfsiz sozlash. PCI DSS barcha tizimlarda (shu jumladan domen nazoratchilarida) xavfsiz, standarta mos konfiguratsiyani talab qiladi. Bungа 2.2 bandi misol bo‘la oladi: unda serverlar “qayta o‘rnatilgan standart sozlamalar” (default settings) bilan ishlamasligi, keraksiz xizmat va protokollar o‘chirib qo‘yilishi lozimligi aytiladi. Active Directory domen nazoratchilarini sozlashda bu talablarga amal qilinadi: masalan, ularni domen roli uchun maxsus qattiqlashtirish (hardening) skriptlari yoki Group Policy yordamida keraksiz portlarni yopish, eski protokollarni (SMBv1, LM, NTLMv1 kabi) taqiqlash va default administrator akkauntining nomini o‘zgartirish kabi choralar ko‘riladi. 2.2.4 bandiga ko‘ra, barcha muhim xavfsizlik parametrlarining to‘g‘ri o‘rnatilgani tekshirilishi kerak – bu esa AD uchun konfiguratsiya monitoringini yo‘lga qo‘yishni anglatadi (masalan, domen nazoratchisi uchun STIG yoki CIS Benchmarks kabi xavfsizlik andozalariga muvofiqlikni tekshirish).
- Talab 7: “Biznes zaruratidan kelib chiqib” kirish huquqlarini chegaralash. Bu talab (xususan 7.1 bandlari) muhim ma’lumot va tizim resurslariga faqat ish vazifasi talab qilgan xodimlar kirishini ta’minlashni talab etadi. Active Directory bunday **role-based access control (rolga asoslangan kirish)**ni amalga oshirish vositasi sifatida ishlaydi. Banklar AD’da maxsus guruhlar yaratib, ularni mas’uliyat doirasiga qarab ajratadi va karta ma’lumotlariga ega tizimlarga (masalan, kartalar tranzaktsiyalarini qayta ishlash serverlariga) faqat kerakli guruh a’zolari kirishini ta’minlaydi. PCI DSS shuningdek 7.2 talabida rasmiy kirish nazorati siyosati bo‘lishini va unda kim nima ma’lumotga ega bo‘lishi mumkinligi aniq belgilanishini talab qiladi. AD foydalanuvchi va guruhlar ro‘yxati ushbu siyosatga muvofiq ravishda yuritilishi kerak; masalan, CDE ichidagi serverlarga kirish huquqiga ega domen guruhlari ro‘yxati va ularning ishi doirasidagi asoslashlari hujjatlashtiriladi. AD yordamida “inkor etish bo‘yicha standart” (deny by default) printsipi ham ta’minlanadi – ya’ni, hech bir xodimga aniq ruxsat berilmaguncha karta ma’lumotlariga kira olmasligi lozim.
- Talab 8: Foydalanuvchilarni identifikatsiya qilish va autentifikatsiya qilish. Bu bo‘lim Active Directory bilan eng bevosita bog‘liq talablar to‘plamidir. 8.1 bandga muvofiq, har bir foydalanuvchi va administrator albatta yagona va noyob identifikatorga ega bo‘lishi kerak (general akkauntlar yoki bo‘lishilgan loginlar qat’iyan man etiladi). Banklarda AD buni ta’minlash uchun asosiy mexanizm bo‘lib, har bir xodimga alohida domen akkaunt beriladi, va masalan “Administrator” kabi default umumiy hisoblar ishlatilmaydi yoxud butunlay o‘chirib qo‘yiladi. 8.2 talabi barcha foydalanuvchilarni autentifikatsiya qilish uchun kamida bitta ishonchli usulni qo‘llash (parol, token, biometrika va h.k.) va parollarni uzatishda va saqlashda kuchli kriptografiya bilan himoyalash haqida so‘z yuritadi. AD’da bu parollar NTLM hash ko‘rinishida saqlanadi, ular bir yo‘la shaxt bilan himoyalangan bo‘lsa-da, PCI DSS talablari asosida qo‘shimcha himoya sifatida Group Policy orqali parol murakkabligi va muddati qat’iy belgilanadi (masalan, kamida 12-14 belgidan iborat, har 90 kunda yangilanishi va tarixda so‘nggi 4–5 parolni qayta ishlatmaslik). 8.3 talabi esa masofaviy va konsolsiz kirishlar uchun ko‘p faktorli autentifikatsiyani joriy etishni buyuradi. Bu, masalan, administratorlar RDP orqali yoki VPN orqali CDE tarmog‘iga ulanganida AD parolidan tashqari yana token yoki OTP kiritishini talab qiladi. Banklar amaliyotda AD bilan integratsiyalashgan MFA yechimlaridan foydalanadilar (Microsoft Entra ID / eski nomi Azure AD MFA, yoki hardware tokenlar). Ushbu talab AD domen nazoratchilarini boshqarish uchun ham juda dolzarb: ma’sul administratorlar serverlarga ulanishdan oldin ikki faktor bilan tasdiqlanadi. PCI DSS 8-bo‘limida yana ko‘plab qoidalar bor: masalan, 8.6 – guruh hisoblaridan foydalanmaslik, 8.7 – keraksiz yoki o‘chirilgan akkauntlarni zudlik bilan olib tashlash, 8.8 – parol/foydalanuvchi ma’lumotlarini saqlash va ko‘rsatmaslik kabi. AD’da bularning barchasi siyosatlar bilan va muntazam audit orqali amalga oshiriladi (masalan, Powershell skriptlari yordamida oxirgi 30 kun ichida kirmagan foydalanuvchilarni topib, ularni deaktiv qilish).
- Talab 10: Tizim resurslari va kartaholder ma’lumotlariga kirishni kuzatish va jurnalini yuritish. Bu talab bo‘yicha bank hamma muhim hodisalarni logga yozib borishi va keyinchalik tekshira olishi lozim. Domen nazoratchilari Windows tizimida xavfsizlik voqealarini yozish markazi bo‘lib xizmat qiladi – masalan, foydalanuvchi autentifikatsiya urinishlari (Event ID 4624 muvaffaqiyatli login, 4625 muvaffaqiyatsiz login), guruh huquqlari o‘zgarishi, dastur xato va ogohlantirishlari kabi barcha ma’lumotlar bu loglarda aks etadi. PCI DSS 10.2 bandi aynan foydalanuvchi identifikatori, voqea vaqti, muvaffaqiyat/muvaffaqiyatsizlik holati kabi atributlarni yozishni talab qiladi, bu AD log tizimi tomonidan ta’minlanadi. 10.5 bandiga ko‘ra loglarni faqat o‘qish huquqi bilan saqlash va ruxsatsiz o‘chirishdan himoyalash kerak – AD loglarining arxiv nusxalarini markaziy jurnal serverida yoki Write-Once ma’lumot tashuvchilarda saqlash sharti kiritilishi mumkin. Bundan tashqari, 10.6 ga binoan kamida kundalik ravishda jurnal yozuvlarini tahlil qilish va g‘ayrioddiy faoliyatlarni aniqlash lozim; banklar odatda SIEM tizimi yordamida AD hodisalarini real vaqt monitoringini yo‘lga qo‘yadi. 10.7 esa loglarni kamida bir yil saqlanishini talab qiladi – bu AD uchun ham tegishli (arxivlash va saqlash siyosati bilan hal etiladi).
- Talab 5: Zararli dasturlardan himoya qilish. PCI DSS barcha server va ishchi kompyuterlarda aktual antivirus dasturlari o‘rnatilishini va ularni doimiy ravishda yangilab borishni talab qiladi. Banklar domen nazoratchilariga ham serverga mos antivirus yoki endpoint security agentlarini o‘rnatadi, chunki domain controller ham hujumchilarning nishoni bo‘lishi va zararli kod tushirilishi mumkin. Biroq, bunda ehtiyot chorasi sifatida antivirusning Domain Controller uchun qo‘shimcha sozlamalari kiritiladi (masalan, AD ma’lumotlar bazasi fayllarini skanerlamaslik uchun istisnolar qo‘yiladi, chunki real vaqtda skanerlash ularning ishlashiga xalal bermasligi kerak). Talab 6: Tizimlarni xavfsiz dasturlash va zaifliklarni boshqarish. Bu bo‘lim AD xizmatini qo‘llab-quvvatlovchi tizimlar (masalan, Active Directory ga integratsiyalashgan ilovalar) uchun xavfsizlikni nazarda tutadi, lekin domain controller’lar uchun ham operatsion tizimdagi har qanday xavfsizlik kamchiliklarini bartaraf etishni talab qiladi (6.3 – xavfsizlik yamolari va zaifliklarni boshqarish rejimi). Talab 9: Jismoniy xavfsizlik. PCI DSSning bu talablari (9.1 – 9.4 bandlar) server xonalari va ma’lumotlar omborlariga kirishni nazorat qilishni o‘z ichiga oladi. Domen nazoratchilari, agar ular karta ma’lumotlari muhitining bir qismi bo‘lsa, albatta himoyalangan ma’lumotlar markazida saqlanishi kerak. Ular o‘rnatilgan stoykalar qulflanishi, kirish faqat vakolatli shaxslarga berilishi va har bir kirish hodisasi (masalan, xizmat ko‘rsatish uchun kirish) log kitobiga yoki elektron tizimga qayd etilishi lozim. PCI DSS 9.5-9.6 ma’lumot tashuvchi vositalarni ham himoya qilish haqida so‘z yuritadi – bu, domain controller zaxira nusxalarini o‘z ichiga olishi mumkin; backup lentalari yoki fayllari ham xuddi kartochka ma’lumotlari kabi himoyalanishi, shifrlanishi va inventar ro‘yxatida kuzatilishi lozim.
Yuqoridagi talablarga javob berishda Active Directory muhitida bir qator aniq konfiguratsion choralar qo‘llanadi. Jadval 1da ISO 27001, NIST SP 800-53 va PCI DSS standartlarining ayrim muhim talablarini qamrab oluvchi choralar va ularni AD domenida amalga oshirish yo‘llari solishtirilib keltirilgan.
Standartlar talablariga muvofiq AD xavfsizlik choralarining taqqoslanishi
Jadval 1. ISO/IEC 27001, NIST SP 800-53 va PCI DSS talablariga muvofiq Active Directory domen nazoratchisi xavfsizlik choralarining solishtirma jadvali.
|
Xavfsizlik
chora/talab |
ISO/IEC
27001 |
NIST SP
800-53 (Rev.5) |
PCI DSS
4.0 |
Active
Directoryda amalga oshirish |
|
Foydalanuvchi huquqlarini
boshqarish – Yangi foydalanuvchilarni
ro‘yxatdan o‘tkazish va eski akkauntlarni o‘chirish
(provisioning/de-provisioning) tartibi; minimal huquqlarni berish |
A.9.2 – Ruxsat berish, ro‘yxatdan o‘tkazish;
A.9.1 – Kirish huquqlarini chegaralash prinsipi (least privilege) |
AC-2 – Account Management; AC-5 – Separation
of Duties; AC-6 – Least Privilege |
Talab 7.1 – Biznes zarurati bo‘yicha cheklash; 8.1.1 – Yagona
foydalanuvchi ID; 8.7 – Faol bo‘lmagan akkauntlarni o‘z vaqtida o‘chirish |
AD’da har bir foydalanuvchi uchun noyob Domain
Account; Role-Based Access Control (guruh huquqlari); ishdan ketgan
xodimlarni disable/delete qilish protsedurasi; “Domain Admins” kabi
yuqori guruhlarga cheklangan a’zolik (ajratilgan vazifalar) |
|
Imtiyozli (administrator)
huquqlarni nazorat qilish –
Administrator rollarini chegaralash, ko‘pfaktorlu autentifikatsiya, doimiy
bo‘lmagan admin huquqlari (just-in-time) |
A.9.2.3 – Imtiyozli huquqlarni boshqarish
siyosati; A.6.1.2 – Rollarni ajratish prinsipi |
AC-5 – Separation of Duties; IA-2(1) – MFA for
privileged accounts; AU-12 – Session Termination (unused admin sessions) |
Talab 8.3 – Masofaviy/ konsolsiz kirish uchun MFA; 8.2.5 – Parol murakkabligi va muddati; 8.8 –
IDs va parollarni boshqarish siyosati |
Domain Admin va mahalliy admin parollarini
LAPS bilan unikal boshqarish; MFA (smart-card, OTP) AD
administratorlari uchun joriy etish; Admin hisoblar uchun alohida “boshqaruv”
domeni (Tier-0 muhit) yaratish; “Just Enough Administration” va JIT
usullarini qo‘llash (Time-based group membership) |
|
Jurnalizatsiya va monitoring – Active Directory voqealarini logga yozish, ularni yaxlit saqlash va
tahlil qilish |
A.12.4.1 – Hodisalar jurnalini yuritish;
A.12.4.3 – Loglarni himoya qilish; A.16.1 – Hodisalarni aniqlash va ularga
munosabat |
AU-2 – Auditable Events; AU-6 – Audit Review,
Analysis; AU-9 – Protect Audit Records; SI-4 – Active Monitoring |
Talab 10.2 – Barcha kirish hodisalarini loglash; 10.5 – Loglarni o‘chirib
bo‘lmaydigan qilib saqlash; 10.6 – Kundalik log monitoring |
Windows Event Logda Audit Policy
(Logon/Logoff, Account Management va h.k.) yoqilgan; Loglar markaziy SIEM’ga kollektor
agent orqali uzatiladi; Loglar arxivlari uchun fayllarni faqat o‘qish
huquqi bilan saqlash; DSRM kontosi kirishini monitoring qilish |
|
Konfiguratsiya va yamalash
(patch management) – Domen
nazoratchilarini standartga muvofiq sozlash va doimiy ravishda yangilab
borish |
A.12.1.2 – Dasturiy yangilanishlar boshqaruvi;
A.12.6.1 – Zaifliklarni boshqarish |
CM-2 – Baseline Configuration; SI-2 – Flaw
Remediation; CM-6 – Configuration Settings |
Talab 2.2 – Xavfsiz konfiguratsiya andozalari; 6.3 – Yamalar/dasturiy
o‘zgarishlarni boshqarish protsedurasi |
CIS Benchmark ga mos Windows Server sozlamalari tatbiqi; Keraksiz xizmatlarni
o‘chirish (hardening skriptlari); Windows Update/WSUS orqali
yangilanishlar jadvali; Vulnerability scanning (Nessus va h.k.) orqali
zaifliklarni muntazam tekshirish |
|
Zaxiralash va tiklash – AD ma’lumotlari va xizmatining uzluksizligini ta’minlash (DR/BCP) |
A.17.1 – Uzluksizlik rejasi (biznes
talablariga asoslangan); A.12.3.1 – Zaxiralash (backup) siyosati |
CP-9 – System Backup; CP-10 – Recovery and
Reconstitution; IR-4 – Incident Response Plan (kompromat holatida) |
Talab 10.5.1 – Log va ma’lumotlarni zaxiralash; (Shuningdek, PCI DSS
umumiy tavsiyalarida uzluksizlik bosqichlari bevosita keltirilmagan, lekin xavfsizlikni
saqlash uchun zarur) |
Har bir Domain Controller’ning System State
va AD bazasi muntazam zaxiralash (Windows Server Backup, VSS);
Zaxiralarni off-site va shifrlangan holda saqlash; Forest Recovery
rejasini tayyorlash (KRBTGT reset, hushyorlik tekshiruvi va h.k. bilan);
Disaster Recovery sinovlarini o‘tkazish (yiliga 1-2 marotaba) |
|
Jismoniy xavfsizlik – Domen nazoratchilarining apparat darajadagi himoyasi va joylashuvi |
A.11.1 – Fizik xavfsizlik perimetri; A.11.2 –
Uskunalarni himoya qilish |
PE-3 – Physical Access Control; PE-6 –
Monitoring Physical Access; PE-18 – Location of Components |
Talab 9.1 – Ma’lumot markaziga kirishni cheklash; 9.3 – Mehmon va tashqi
shaxslar kiruvini nazorat qilish; 9.5 – Ma’lumot tashuvchilarni himoya qilish |
Domen nazoratchilarini qulflangan stoykalarga
joylash (DC uchun alohida zona); Server xonasiga kirish uchun ikki faktorli
identifikatsiya (karta+PIN); Kirish jurnalini yuritish (CCTV, access log);
Virtual DC’larni ajratilgan Hyper-V hostlarda yuritish (yoki Shielded VM
texnologiyasi bilan); Serverlar disklarini BitLocker bilan shifrlash
(disk chiqarib olinsa ham ma’lumot olinmaydi) |
Above, Jadval 1da keltirilganidek, har bir standart AD domen nazoratchisi xavfsizligini ta’minlashga qaratilgan o‘ziga xos talab va nazoratlarini belgilaydi. ISO/IEC 27001 yuqori darajadagi siyosiy va protsessual yondashuvni ta’minlab, AD uchun umumiy xavfsizlik doirasini belgilasa, NIST SP 800-53 batafsil texnik ko‘rsatmalar beradi, PCI DSS esa kartalar ma’lumotlari kontekstida aniq va qat’iy choralarni amalga oshirishni talab qiladi. Muhimi, ushbu standartlarning barchasi bir-birini to‘ldiradi va bank muhitida Active Directory xavfsizligini mustahkamlashga xizmat qiladi.
Amaliy tavsiyalar va xulosa
Bank muhitida Active Directory domen nazoratchilarini himoya qilish – bu doimiy e’tibor talab qiluvchi, kompleks yondashuvni taqozo etadigan vazifadir. Yuqorida ko‘rib chiqilgan standartlar (ISO/IEC 27001, NIST SP 800-53, PCI DSS) asosida shakllantirilgan talablar banklarga AD xavfsizlik bo‘yicha minimal talablar majmuasini beradi. Biroq amaliyotda bu talablarni samarali tatbiq etish uchun quyidagi tavsiyalarni inobatga olish lozim:
- AD infratuzilmasini qatlamli himoya qilish: Active Directory hujumchilarning asosiy nishoni ekanini inobatga olib, mudofaa choralari bir nechta qatlamda joriy etilsin. Masalan, tarmoq darajasida domen nazoratchilariga alohida segment va qat’iy kirish nazorati (firewall qoidalari) o‘rnatish; tizim darajasida – domen nazoratchilari OS qattiqlashtirish va doimiy yamalash; ilova darajasida – AD konfiguratsiyasini himoya qiluvchi sozlamalar (audit siyosati, protokol cheklovlari); foydalanuvchi darajasida – adminlarni ko‘p faktorli autentifikatsiya va doimiy trening bilan himoyalash.
- Imtiyozli va oddiy foydalanuvchi muhitlarini ajratish: Bank tajribasida Tiered Administration (uch qatlamli admin muhit) modeli yaxshi samara beradi. Ushbu modelga ko‘ra, domen nazoratchilariga faqat eng yuqori darajadagi administratorlar (Tier 0) kirish huquqiga ega bo‘ladi va ular boshqa tizimlarda (masalan, ishchi stansiyalarda yoki past darajadagi serverlarda) o‘z shu hisoblari bilan kirmaydi – bu pass-the-hash va pass-the-ticket hujumlarining oldini olishga yordam beradi. Har bir imtiyozli hisob uchun alohida boshqaruv kompyuterlari (Secure Admin Workstation) ajratilishi va ular ham qattiq nazoratda bo‘lishi kerak. Shu tariqa, hujumchi oddiy foydalanuvchi qatlamini buzgan taqdirda ham, u darhol AD’ning o‘ziga kira olmasligi uchun to‘siqlar bo‘ladi.
- Doimiy monitoring va audit: AD tizimini “o‘rnatdim, tamom” qabilida qoldirib bo‘lmaydi. Bankning axborot xavfsizligi bo‘limi Active Directory uchun normal faoliyat ko‘rsatkichlarini belgilab olib, SIEM vositalari orqali doimiy kuzatuv olib borishi lozim. Masalan, domen administratori huquqlariga ega foydalanuvchi noodatiy vaqtda yoki noodatiy kompyuterdan tizimga kirsa, bu darhol xavotir sifatida qayd etilib, tekshirilishi lozim. AD’da yangi yaratilgan foydalanuvchi yoki gruppa huquqlaridagi o‘zgarishlar ham tekshiruv triggerlari sifatida belgilanishi kerak. Har chorakda yoki yarim yilda bir marta Active Directory konfiguratsiyasi va siyosatlariga ichki audit o‘tkazish tavsiya etiladi – bunda standartlarga muvofiqlik (masalan, parol siyosati PCI DSS talablariga mosmi, log sozlamalari NIST bo‘yicha yetarlimi va hokazo) baholanadi, kamchiliklar tuzatiladi.
- Zaxira va favqulodda tiklash mashqlari: Ruxsat etilmasin, ammo bank domen nazoratchisi buzilganda qilinadigan amallar rejasini oldindan ishlab chiqishi va vaqti-vaqti bilan mashq qilib borishi kerak. Masalan, eng yomon holat – Entire Domain Compromise (butun domen buzilishi) senariysi uchun qanday tiklash amallari bajarilishi aniq ketma-ketlikda hujjatlashtirilgan bo‘lishi lozim. Bu rejaga muvofiq, masalan: barcha administrator parollarini zudlik bilan o‘zgartirish, katalog ma’lumotlarini ishonchli zaxiradan qayta tiklash, tizimlarga zararli aktivlik tekshiruvidan so‘ng ularni domenga qayta ulash kabi qadamlar belgilanadi. Yilda kamida bir marotaba shunday stol usti mashqlari (table-top exercise) yoki test sinov orqali AD tiklash rejasi sinab ko‘rilsa, real hodisa sodir bo‘lganda xatoliklar va kechikishlarning oldi olinadi.
- Standartlar va real tahdidlar o‘rtasida muvozanat: ISO 27001, NIST 800-53, PCI DSS kabi standartlar muvofiqlikni (compliance) ta’minlashga xizmat qiladi. Lekin bank uchun muhim jihat – muvofiqlik va xavfsizlikni uyg‘unlashtirishdir. Ya’ni faqat talablarga “hisobot” uchun amal qilish yetarli emas, balki ushbu talablarda ko‘zda tutilgan choralar haqiqatan ham samarali ekanini ta’minlash zarur. Masalan, PCI DSS talab qilgan deb loglarni yig‘ish tashkil etildi, biroq ularga hech kim qaramasa – bu chora foydasiz. Shuning uchun banklar standartlar tavsiyalarini minimal darajada emas, balki yuqori darajada tatbiq etishi, zamonaviy tahdid tendensiyalarini (masalan, ransomware hujumlari AD’ni bloklashga urinishi, Golden Ticket hujumlari Kerberos kalitlarini o‘g‘irlashi kabi) ham hisobga olib, himoya rejimlarini moslashtirib borishi lozim. Microsoft kabi ishlab chiquvchilar tomonidan tavsiya etilayotgan so‘nggi vositalar – masalan, Azure Active Directory Password Protection (yomon parollarni oldini olish), Privileged Access Management (PAM) funksiyalari, Protected Users xavfsizlik guruhi – kabilarni joriy qilish orqali AD muhiti mustahkamlanadi.
2-rasm: Active Directory domen nazoratchilarining bank infratuzilmasidagi xavfsizlik pozitsiyasi – ISO, PCI DSS va zamonaviy texnologik himoya doirasida.
Xulosa qilib aytganda, Active Directory domen nazoratchilarining xavfsizligi bank axborot tizimlarining umumiy xavfsizlik darajasini belgilab beruvchi omillardandir. Keltirilgan ISO/IEC 27001, NIST SP 800-53 va PCI DSS standartlari banklarga AD muhitini qanday boshqarish va himoyalash borasida kompleks ko‘rsatmalar beradi. Ushbu ko‘rsatmalarni birgalikda tatbiq etish orqali bank muvofiqlik talablarini qondirishi bilan birga, real xavf-xatarlardan himoyalanishni ham ta’minlay oladi. AD domen nazoratchilarini tahdidlardan ishonchli himoyalash – foydalanuvchi identifikatsiyasidan tortib tarmoq konfiguratsiyasigacha – har tomonlama choralarni talab etadi. Zamonaviy kiberxavf muhitida bu choralarni e’tiborsiz qoldirish bank faoliyatiga, mijozlar ma’lumotlariga va obro‘siga tuzatib bo‘lmas zararlar yetkazishi mumkin. Shu bois, banklar doimo AD xavfsizligini ustuvor vazifa sifatida ko‘rib, xalqaro standartlarga amal qilgan holda uni takomillashtirib borishi lozim. Bu nafaqat auditorlik tekshiruvlaridan muvaffaqiyatli o‘tish, balki bank axborot resurslari yaxlitligi va mijozlar ma’lumotlari maxfiyligini kafolatlash uchun ham zarur shartdir.
Manbalar:
1. Microsoft Learn – Active Directory uchun xavfsizlik bo‘yicha eng yaxshi amaliyotlar
2. ISO/IEC 27001:2022 axborot xavfsizligi standarti – Annex A nazoratlari (A.9 – Kirish nazorati, A.12 – Operatsion xavfsizlik va boshqalar) bo‘yicha rasmiy qo‘llanma
3. NIST SP 800-53 Rev.5 – Idoraviy axborot tizimlari uchun xavfsizlik nazoratlari katalogi, identifikatsiya va kirish boshqaruvi, audit, konfiguratsiya menejmenti bo‘yicha tegishli bandlar
4. PCI DSS v4.0 – To‘lov kartalari ma’lumotlari xavfsizligi standarti talabnomasi (7, 8, 10-bo‘limlar – kirishni cheklash, identifikatsiya/autentifikatsiya, monitoring)
5. InfraSOS Active Directory Security Compliance – AD’ni ISO 27001 va NIST SP 800-53 talablariga muvofiq himoyalash bo‘yicha tavsiyalar
6. Hoop.dev – Active Directory’ni ISO 27001 va PCI DSS bilan muvofiqlashtirish yuzasidan menejerlar uchun qo‘llanmalar
7. BankingExchange – Moliyaviy institutlarda AD xavfsizligi va kiberxavf xatarlariga oid tahliliy maqola
