Росстандарт утвердил ГОСТ для разработчиков, интеграторов и заказчиков IdM-систем
Росстандарт утвердил ГОСТ Р «Системы автоматизированного управления учетными записями и правами доступа», который вводится в действие с 20 декабря 2024 года.
Утвержденный национальный стандарт — это результат комплексной работы ИБ-отрасли под эгидой регулятора рынка. Технический комитет по стандартизации ТК 362 «Защита информации» выступил площадкой для обсуждения проекта. В дискуссиях приняли участие 27 компаний ИБ- и ИТ-рынка, в их числе ГК InfoWatch, «Газинформсервис», «Центр безопасности информации» и «Сбертех». Эксперты подали более 300 рекомендаций, учтенных в финальной версии документа. Инициатором подготовки отраслевого стандарта выступила ГК «Солар».
В новом ГОСТе отражены практика государственного регулирования, рекомендации по формированию стратегии и политик кибербезопасности, требования к существующим на рынке IdM-системам, актуальная практика проектирования и внедрения платформ для управления доступом в госсекторе и российских компаниях.
ГОСТ включает рекомендации, как привести различные системы управления доступом к единой модели управления, каким образом построить и упорядочить управление ролевой моделью организации, индивидуальным и групповым доступом. Он также включает положения об эталонной матрице прав доступа пользователей, которая необходима для мониторинга изменений учетных записей и прав доступа. Практическую часть стандарта дополняют приложения с типовыми схемами бизнес-процессов, на которые можно ориентироваться при создании собственного проекта.
«Национальный стандарт позволит выработать требования к IdM-системам на этапе технических заданий. Заказчикам будут доступны типовые решения, функции которых включены в стандартные возможности платформ подобного класса. Таким образом, вендоры, интеграторы и компании смогут снизить трудозатраты, сократив сроки проектирования и внедрения IdM-системы», — комментирует Дмитрий Бондарь, директор департамента inRights ГК «Солар».
Как отмечают эксперты рынка кибербезопасности, большинство российских IdM-систем уже учитывают рекомендации регуляторов и в целом соответствуют положениям стандарта. ГОСТ позволяет раскрыть критерии оценки решений и определить, насколько точно то или иное решение соответствует задачам заказчиков. Наиболее актуальными рекомендации национального стандарта будут для организаций, управляющих информационными системами персональных данных, относящихся к ГИС и АСУ ТП.
«Система аутентификации пользователей и вообще управление жизненным циклом учетных записей — это одна из основ надежной ИТ-инфраструктуры. Это важный документ, потому что, с одной стороны, у нас есть рекомендации конкретных вендоров отдельных программных решений, а с другой — зарубежный опыт, где подобные стандарты уже приняты. Но теперь у нас есть и свой стандарт, который, я надеюсь, тоже будет развиваться и совершенствоваться вместе со всей индустрией информационной безопасности», — дополняет Сергей Полунин, руководитель группы защиты инфраструктурных ИТ-решений «Газинформсервиса».
ГК «Солар»
Реклама