Новый ГОСТ для IdM-систем: Росстандарт задает правила для управления доступом
В декабре 2024 года в России вступает в силу новый ГОСТ, который упорядочит управление доступом в информационных системах. Национальный стандарт ГОСТ Р «Системы автоматизированного управления учетными записями и правами доступа», утвержденный Росстандартом, стал результатом комплексной работы Технического комитета по стандартизации ТК 362 «Защита информации» и ведущих представителей индустрии. В процессе разработки участвовали 27 компаний, включая InfoWatch, Газинформсервис, Центр безопасности информации и Сбертех. Инициатором выступила ГК «Солар», а к финальной версии стандарта было добавлено свыше 300 рекомендаций экспертов.
Основная задача нового ГОСТа — создание единого подхода к управлению учетными записями и правами доступа. Это критически важно для государственных организаций и компаний, работающих с персональными данными, государственными информационными системами (ГИС) и автоматизированными системами управления технологическими процессами (АСУ ТП). Внедрение стандарта призвано повысить безопасность и снизить риски при работе с IdM-системами, которые обеспечивают доступ к ключевым ресурсам и данным.
ГОСТ включает конкретные требования к ролевым и групповым моделям управления доступом, механизмам контроля прав, а также правила мониторинга изменений в учетных записях. Практическая часть документа дополнена типовыми схемами бизнес-процессов, что позволяет компаниям быстрее адаптировать стандарт к своим внутренним задачам. Одним из ключевых элементов стала эталонная матрица прав доступа — инструмент для отслеживания изменений и защиты от несанкционированного доступа.
Документ адресован трем основным группам пользователей: разработчикам IdM-систем, интеграторам и заказчикам. Для разработчиков новый стандарт служит методологической базой, задающей рамки и критерии функциональности, что упрощает проверку систем на соответствие требованиям регуляторов. Интеграторы смогут сократить сроки внедрения благодаря унифицированным требованиям и четкой структуре процессов. Заказчикам ГОСТ позволит упростить выбор IdM-решений и повысить их эффективность.
Эксперты ИБ-рынка отмечают, что российские IdM-системы в большинстве уже учитывают требования регуляторов. Новый ГОСТ не только усиливает контроль, но и стандартизирует процессы, обеспечивая унифицированный подход к управлению доступом. С введением ГОСТа заказчики смогут более точно формировать технические