Byte/RE ИТ-издание

Новости

Национальный стандарт для управления учетными записями и правами доступа

Безопасность
--> 0

Росстандарт утвердил ГОСТ Р «Системы автоматизированного управления учетными записями и правами доступа», который вводится в действие с 20 декабря 2024 г. Национальный стандарт стал результатом комплексной работы ИБ-отрасли под эгидой регулятора рынка.

Обсуждение проекта велось на площадке Технического комитета по стандартизации ТК 362 «Защита информации», в нем приняли участие 27 компаний в сфере ИБ, разработчики ИТ- и ИБ-решений финансового и энергетического сектора. Суммарно эксперты подали более 300 рекомендаций, учтенных в финальной версии стандарта. Инициатором подготовки отраслевого стандарта выступила ГК «Солар».

В новом ГОСТе отражена практика государственного регулирования и рекомендации по формированию стратегии и политик кибербезопасности, требования к существующим на рынке IdM-системам, актуальную практику проектирования и внедрения инфраструктуры управления доступом в госсекторе и российских компаниях.

Ключевая цель в управлении учетными записями и правами доступа с позиции нового ГОСТа – своевременное предоставление доступа к информационным ресурсам организаций и гарантии того, что доступ предоставляется в соответствии с правилами политики информационной безопасности.

Национальный стандарт необходим прежде всего разработчикам систем идентификации и аутентификации пользователей, решений для управления доступом (IdM-систем), а также компаниям-интеграторам, которые реализуют проекты по внедрению подобных решений. Документ также будет востребован у компаний, планирующих внедрение IdM-решений или уже эксплуатирующих аналогичные платформы. Новый национальный стандарт позволит оценить различные существующие системы по управлению доступом на соответствие требованиям регуляторов, а также самостоятельно разработать или оценить техническое задание на проект, разработанный интегратором.

ГОСТ включает рекомендации, как привести различные системы управления доступом к единой модели управления, каким образом построить управление ролевой моделью организации, индивидуальным и групповым доступом и упорядочить процедуры управления доступом. Кроме того, в документ вошли положения о контроле соответствия легальным и фактическим правам доступа, эталонной матрице прав доступа пользователей, в том числе для отслеживания несанкционированных изменений учетных записей и прав доступа.

Национальный стандарт определяет меры защиты информации в системах управления учетными записями и правами доступа, которые должны реализоваться с помощью встроенных мер защиты или наложенных средств информационной безопасности. Практическую часть ГОСТ дополняют приложения с типовыми схемами бизнес-процессов по управлению учетными записями и доступом, на которые можно ориентироваться при создании собственного проекта.

Как отмечают эксперты рынка кибербезопасности, большинство российских IdM-систем уже учитывают рекомендации регуляторов и в целом соответствуют положениям стандарта.

Новый ГОСТ выступает как составная часть национальных стандартов, разрабатываемых в области идентификации, аутентификации и управления доступом. Документ также учитывает практику защиты информации в финансовых организациях, закрепленную ГОСТами Центробанка России № 57580-1.2017 и № 57580-2.2018.

Вам также могут понравиться

Сделка ГК «Солар» и Luntry

Утилита CorpSoft24 для синхронизации учетных записей в облаке

Управление учетными записями Ankey IDM с аутентификацией Multifactor

Венчурный фонд ГК «Солар» в сфере ИБ

WAF-сервис «Солар» – среднему бизнесу

Новый ГОСТ протокола NB-IoT