Росстандарт утвердил ГОСТ Р «Системы автоматизированного управления учетными записями и правами доступа», который вводится в действие с 20 декабря 2024 года.

Утвержденный национальный стандарт стал результатом комплексной работы ИБ-отрасли под эгидой регулятора рынка. Технический комитет по стандартизации ТК 362 «Защита информации» выступил площадкой для обсуждения проекта. В дискуссиях приняли участие 27 компаний в сфере информационной безопасности, разработчики ИТ- и ИБ-решений финансового и энергетического сектора, в их числе — ГК InfoWatch, Газинформсервис, «Центр безопасности информации» и Сбертех. Суммарно эксперты подали более 300 рекомендаций, учтенных в финальной версии стандарта. Инициатором подготовки отраслевого стандарта выступила группа компаний «Солар».

В новом ГОСТе отражена практика государственного регулирования и рекомендации по формированию стратегии и политик кибербезопасности, требования к существующим на рынке IdM-системам, актуальную практику проектирования и внедрения инфраструктуры управления доступом в госсекторе и российских компаниях.

Ключевая цель в управлении учетными записями и правами доступа с позиции нового ГОСТа — своевременное предоставление доступа к информационным ресурсам организаций и гарантий того, что доступ предоставляется в соответствии с правилами политики информационной безопасности.

Национальный стандарт прежде всего необходим для разработчиков систем для идентификации и аутентификации пользователей, решений по управлению доступом (IdM-системы), и компаний-интеграторов, которые реализуют проекты по внедрению подобного класса решений. Также документ будет востребован среди компаний, планирующих внедрение IdM-решений или уже эксплуатирующих аналогичные платформы. Новый национальный стандарт позволит оценить различные существующие системы по управлению доступом на соответствие требованиям регуляторов, а также самостоятельно разработать или оценить техническое задание на проект, разработанный интегратором.

ГОСТ включает рекомендации, как привести различные системы управления доступом к единой модели управления, каким образом построить управление ролевой моделью организации, индивидуальным и групповым доступом и упорядочить процедуры управления доступом. Кроме того, в документ вошли положения о контроле соответствия легальным и фактическим правам доступа, эталонной матрице прав доступа пользователей, в том числе для отслеживания несанкционированных изменений учетных записей и прав доступа.

Национальный стандарт определяет меры защиты информации в системах управления учетными записями и правами доступа, которые должны реализовываться с помощью встроенных мер защиты или наложенных средств информационной безопасности. Практическую часть ГОСТ дополняют приложения с типовыми схемами бизнес-процессов по управлению учетными записями и доступом, на которые можно ориентироваться при создании собственного проекта.

«Национальный стандарт позволит выработать требования к IdM-системам на этапе технических заданий по внедрению. Заказчикам в свою очередь будут доступны типовые решения, функции которых будут включены в стандартный функционал платформ подобного класса. Таким образом вендоры, интеграторы и компании смогут снизить трудозатраты на подобные проекты за счет сокращения сроков проектирования и внедрения IdM-решения», — комментирует Дмитрий Бондарь, директор департамента inRights ГК «Солар».

Как отмечают эксперты рынка кибербезопасности, большинство российских IdM-систем уже учитывают рекомендации регуляторов и в целом соответствуют положениям стандарта. ГОСТ также позволяет раскрыть критерии оценки решений и определить, насколько точно то или иное решение соответствует задачам заказчиков. Наиболее актуальными рекомендации ГОСТ будут для организаций, управляющих информационными системами персональных данных, относящихся к ГИС и АСУ ТП.

«Система аутентификации пользователей и вообще управление жизненным циклом учетных записей — это одна из основ надежной ИТ инфраструктуры. Это определенно важный документ, потому что, с одной стороны, у нас есть рекомендации конкретных вендоров отдельных программных решений, а с другой — зарубежный опыт, где подобные стандарты уже приняты. Но теперь у нас есть и свой стандарт, который, я надеюсь тоже будет развиваться и совершенствоваться вместе со всей индустрией информационной безопасности», — комментирует Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис».

Как отмечают авторы ГОСТа, он выступает как составная часть национальных стандартов, разрабатываемых в области
идентификации, аутентификации и управления доступом. Документ также учитывает практику защиты информации в
финансовых организациях, закрепленную ГОСТами Центробанка России № 57580-1.2017 и № 57580-2.2018.