Росстандарт утвердил ГОСТ Р «Системы автоматизированного управления учетными записями и правами доступа», который вводится в действие с 20 декабря 2024 года.

Утвержденный национальный стандарт стал результатом комплексной работы ИБ-отрасли под эгидой регулятора рынка. Технический комитет по стандартизации ТК 362 «Защита информации» выступил площадкой для обсуждения проекта. В дискуссиях приняли участие 27 компаний в сфере информационной безопасности, разработчики ИТ- и ИБ-решений финансового и энергетического сектора, в их числе — ГК InfoWatch, Газинформсервис, «Центр безопасности информации» и Сбертех. Суммарно эксперты подали более 300 рекомендаций, учтенных в финальной версии стандарта. Инициатором подготовки отраслевого стандарта выступила группа компаний «Солар».

В новом ГОСТе отражена практика государственного регулирования и рекомендации по формированию стратегии и политик кибербезопасности, требования к существующим на рынке IdM-системам, актуальную практику проектирования и внедрения инфраструктуры управления доступом в госсекторе и российских компаниях.

Ключевая цель в управлении учетными записями и правами доступа с позиции нового ГОСТа — своевременное предоставление доступа к информационным ресурсам организаций и гарантий того, что доступ предоставляется в соответствии с правилами политики информационной безопасности.

Национальный стандарт прежде всего необходим для разработчиков систем для идентификации и аутентификации пользователей, решений по управлению доступом (IdM-системы), и компаний-интеграторов, которые реализуют проекты по внедрению подобного класса решений. Также документ будет востребован среди компаний, планирующих внедрение IdM-решений или уже эксплуатирующих аналогичные платформы. Новый национальный стандарт позволит оценить различные существующие системы по управлению доступом на соответствие требованиям регуляторов, а также самостоятельно разработать или оценить техническое задание на проект, разработанный интегратором.

ГОСТ включает рекомендации, как привести различные системы управления доступом к единой модели управления, каким образом построить управление ролевой моделью организации, индивидуальным и групповым доступом и упорядочить процедуры управления доступом. Кроме того, в документ вошли положения о контроле соответствия легальным и фактическим правам доступа, эталонной матрице прав доступа пользователей, в том числе для отслеживания несанкционированных изменений учетных записей и прав доступа.

Национальный стандарт определяет меры защиты информации в системах управления учетными записями и правами доступа, которые должны реализовываться с помощью встроенных мер защиты или наложенных средств информационной безопасности. Практическую часть ГОСТ дополняют приложения с типовыми схемами бизнес-процессов по управлению учетными записями и доступом, на которые можно ориентироваться при создании собственного проекта.

«Национальный стандарт позволит выработать требования к IdM-системам на этапе технических заданий по внедрению. Заказчикам в свою очередь будут доступны типовые решения, функции которых будут включены в стандартный функционал платформ подобного класса. Таким образом вендоры, интеграторы и компании смогут снизить трудозатраты на подобные проекты за счет сокращения сроков проектирования и внедрения IdM-решения», — комментирует Дмитрий Бондарь, директор департамента inRights ГК «Солар».

Как отмечают эксперты рынка кибербезопасности, большинство российских IdM-систем уже учитывают рекомендации регуляторов и в целом соответствуют положениям стандарта. ГОСТ также позволяет раскрыть критерии оценки решений и определить, насколько точно то или иное решение соответствует задачам заказчиков. Наиболее актуальными рекомендации ГОСТ будут для организаций, управляющих информационными системами персональных данных, относящихся к ГИС и АСУ ТП.

«Система аутентификации пользователей и вообще управление жизненным циклом учетных записей — это одна из основ надежной ИТ инфраструктуры. Это определенно важный документ, потому что, с одной стороны, у нас есть рекомендации конкретных вендоров отдельных программных решений, а с другой — зарубежный опыт, где подобные стандарты уже приняты. Но теперь у нас есть и свой стандарт, который, я надеюсь тоже будет развиваться и совершенствоваться вместе со всей индустрией информационной безопасности», — комментирует Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Как отмечают авторы ГОСТа, он выступает как составная часть национальных стандартов, разрабатываемых в области идентификации, аутентификации и управления доступом. Документ также учитывает практику защиты информации в финансовых организациях, закрепленную ГОСТами Центробанка России № 57580-1.2017 и № 57580-2.2018.

ДРУГИЕ СТАТЬИ ПРОДУКТА

Еще больше о наших возможностях

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Метод «Солара»: готовим аналитиков SOC к реальным вызовам кибербезопасности

Узнать больше
Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Почта России станет полигоном для отработки лучших практик построения киберустойчивости

Узнать больше
Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Новая линейка ПАК Solar NGFW: защита уровня enterprise для корпораций и МСБ в самых атакуемых отраслях

Узнать больше
ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

ГК «Солар»: число уязвимостей в веб-приложениях во II квартале выросло почти на 60%

Узнать больше
Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Во время ЕГЭ на 30% выросло число вредоносных ресурсов, нацеленных на школьников

Узнать больше
От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

От почты до мессенджеров: комплексная защита данных на базе обновлённой версии Solar Dozor 8.1

Узнать больше
Как ИТ-специалисту перейти в кибербезопасность

Как ИТ-специалисту перейти в кибербезопасность

Узнать больше
Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Solar Dozor интегрируется с «МойОфис Документы Онлайн» для защиты данных

Узнать больше
Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Идти навстречу бизнесу: «Солар» запустил промоакцию на облачный SOC для компаний с разными бюджетами

Узнать больше
Личное под контролем: «Ростелеком» и «Солар» обновили сервис мониторинга утечек персональных данных

Личное под контролем: «Ростелеком» и «Солар» обновили сервис мониторинга утечек персональных данных

Узнать больше