Росстандарт утвердил национальный стандарт для систем автоматизированного управления учетными записями и правами доступа

Росстандарт утвердил ГОСТ Р «Системы автоматизированного управления учетными записями и правами доступа», который вводится в действие с 20 декабря 2024 года. Утвержденный национальный стандарт стал результатом комплексной работы ИБ-отрасли под эгидой регулятора рынка. Технический комитет по стандартизации ТК 362 «Защита информации» выступил площадкой для обсуждения проекта. В дискуссиях приняли участие 27 компаний в сфере информационной безопасности, разработчики ИТ- и ИБ-решений финансового и энергетического сектора, в их числе — ГК InfoWatch, Газинформсервис, «Центр безопасности информации» и Сбертех. Суммарно эксперты подали более 300 рекомендаций, учтенных в финальной версии стандарта. Инициатором подготовки отраслевого стандарта выступила группа компаний «Солар».

В новом ГОСТе отражена практика государственного регулирования и рекомендации по формированию стратегии и политик кибербезопасности, требования к существующим на рынке IdM-системам, актуальную практику проектирования и внедрения инфраструктуры управления доступом в госсекторе и российских компаниях. Ключевая цель в управлении учетными записями и правами доступа с позиции нового ГОСТа — своевременное предоставление доступа к информационным ресурсам организаций и гарантий того, что доступ предоставляется в соответствии с правилами политики информационной безопасности.

Национальный стандарт прежде всего необходим для разработчиков систем для идентификации и аутентификации пользователей, решений по управлению доступом (IdM-системы), и компаний-интеграторов, которые реализуют проекты по внедрению подобного класса решений. Также документ будет востребован среди компаний, планирующих внедрение IdM-решений или уже эксплуатирующих аналогичные платформы. Новый национальный стандарт позволит оценить различные существующие системы по управлению доступом на соответствие требованиям регуляторов, а также самостоятельно разработать или оценить техническое задание на проект, разработанный интегратором.

ГОСТ включает рекомендации, как привести различные системы управления доступом к единой модели управления, каким образом построить управление ролевой моделью организации, индивидуальным и групповым доступом и упорядочить процедуры управления доступом. Кроме того, в документ вошли положения о контроле соответствия легальным и фактическим правам доступа, эталонной матрице прав доступа пользователей, в том числе для отслеживания несанкционированных изменений учетных записей и прав доступа.

Документ определяет меры защиты информации в системах управления учетными записями и правами доступа, которые должны реализовываться с помощью встроенных мер защиты или наложенных средств информационной безопасности. Практическую часть ГОСТ дополняют приложения с типовыми схемами бизнес-процессов по управлению учетными записями и доступом, на которые можно ориентироваться при создании собственного проекта.

Как отметили эксперты рынка кибербезопасности, большинство российских IdM-систем уже учитывают рекомендации регуляторов и в целом соответствуют положениям стандарта. ГОСТ также позволяет раскрыть критерии оценки решений и определить, насколько точно то или иное решение соответствует задачам заказчиков. Наиболее актуальными рекомендации ГОСТ будут для организаций, управляющих информационными системами персональных данных, относящихся к ГИС и АСУ ТП.

По мнению разработчиков ГОСТа, он выступает как составная часть национальных стандартов, разрабатываемых в области идентификации, аутентификации и управления доступом. Документ также учитывает практику защиты информации в финансовых организациях, закрепленную ГОСТами Центробанка России № 57580-1.2017 и № 57580-2.2018.

Источник: itWeek

---

01.11.2024

448

Поделиться: