Росстандарт утвердил ГОСТ Р «Системы автоматизированного управления учетными записями и правами доступа», который вводится в действие с 20 декабря 2024 года.
Утвержденный национальный стандарт стал результатом комплексной работы ИБ-отрасли под эгидой регулятора рынка. Технический комитет по стандартизации ТК 362 «Защита информации» выступил площадкой для обсуждения проекта. В дискуссиях приняли участие 27 компаний в сфере информационной безопасности, разработчики ИТ- и ИБ-решений финансового и энергетического сектора, в их числе — ГК InfoWatch, Газинформсервис, «Центр безопасности информации» и Сбертех. Суммарно эксперты подали более 300 рекомендаций, учтенных в финальной версии стандарта. Инициатором подготовки отраслевого стандарта выступила группа компаний «Солар».
В новом ГОСТе отражена практика государственного регулирования и рекомендации по формированию стратегии и политик кибербезопасности, требования к существующим на рынке
Ключевая цель в управлении учетными записями и правами доступа с позиции нового ГОСТа — своевременное предоставление доступа к информационным ресурсам организаций и гарантий того, что доступ предоставляется в соответствии с правилами политики информационной безопасности.
Национальный стандарт прежде всего необходим для разработчиков систем для идентификации и аутентификации пользователей, решений по управлению доступом
ГОСТ включает рекомендации, как привести различные системы управления доступом к единой модели управления, каким образом построить управление ролевой моделью организации, индивидуальным и групповым доступом и упорядочить процедуры управления доступом. Кроме того, в документ вошли положения о контроле соответствия легальным и фактическим правам доступа, эталонной матрице прав доступа пользователей, в том числе для отслеживания несанкционированных изменений учетных записей и прав доступа.
Национальный стандарт определяет меры защиты информации в системах управления учетными записями и правами доступа, которые должны реализовываться с помощью встроенных мер защиты или наложенных средств информационной безопасности. Практическую часть ГОСТ дополняют приложения с типовыми схемами бизнес-процессов по управлению учетными записями и доступом, на которые можно ориентироваться при создании собственного проекта.
«Национальный стандарт позволит выработать требования к
Как отметили эксперты рынка кибербезопасности, большинство российских
«Система аутентификации пользователей и вообще управление жизненным циклом учетных записей — это одна из основ надежной ИТ инфраструктуры. Это определенно важный документ, потому что, с одной стороны, у нас есть рекомендации конкретных вендоров отдельных программных решений, а с другой — зарубежный опыт, где подобные стандарты уже приняты. Но теперь у нас есть и свой стандарт, который, я надеюсь тоже будет развиваться и совершенствоваться вместе со всей индустрией информационной безопасности», — прокомментировал Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».
«Введение нового национального стандарта для
Как отметили авторы ГОСТа, он выступает как составная часть национальных стандартов, разрабатываемых в области идентификации, аутентификации и управления доступом. Документ также учитывает практику защиты информации в финансовых организациях, закрепленную ГОСТами Центробанка России №