Точный
Статус документа
Статус документа
Текст

ГОСТ Р 71753-2024

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Защита информации

СИСТЕМЫ АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ УЧЕТНЫМИ ЗАПИСЯМИ И ПРАВАМИ ДОСТУПА

Общие требования

Information protection. Automatic accounts and access management systems. General requirements



ОКС 35.030

Дата введения 2024-12-20

Предисловие

 

1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Обществом с ограниченной ответственностью "СОЛАР СЕКЬЮРИТИ" (ООО "СОЛАР СЕКЬЮРИТИ")

2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"

3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 октября 2024 г. № 1558-ст

4 ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)

Введение


Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление правами доступа. Какими бы совершенными ни были средства, разграничивающие права доступа к информации и пресекающие несанкционированный доступ к ней, они не позволяют защититься от действий пользователей, имеющих легальный доступ к защищаемой информации. При этом нельзя исключать возможность предоставления ошибочного, избыточного доступа пользователям, а также гарантировать своевременное прекращение доступа пользователей по истечении сроков предоставления доступа или изменения статуса пользователя, например при увольнении.

Системы, автоматизирующие управление учетными записями и правами доступа пользователей, позволяют своевременно предоставлять доступ пользователям и прекращать доступ пользователей к информационным ресурсам в сложных гетерогенных системах, состоящих из большого количества подсистем с собственными механизмами идентификации и аутентификации.

Подобные системы позволяют автоматизировать процесс согласования доступа пользователей на основе ролевой модели организации и электронных заявок на управление правами доступа пользователей. Наличие матрицы легальных прав доступа пользователей позволяет осуществлять контроль соответствия легальных и фактических прав доступа пользователей в информационных системах. В случае обнаружения нелегальных прав доступа пользователей об этом информируются ответственные лица и принимаются необходимые меры.

Для контроля соответствия легальных прав доступа пользователей в информационных системах политике информационной безопасности организации в системах автоматизации управления учетными записями и доступом пользователей могут применяться дополнительные средства контроля на основе правил проверки соответствия прав доступа пользователей политике ИБ.

Системы, автоматизирующие управление учетными записями и правами доступа пользователей, могут использоваться как средства защиты информации при построении подсистем информационной безопасности в сложных гетерогенных информационных системах. Они позволяют реализовать часть мер защиты информации, связанных с управлением учетными записями и правами доступа пользователей.

Для понимания положений настоящего стандарта необходимы знания основ информационных технологий, а также способов защиты информации.

     1 Область применения

Настоящий стандарт устанавливает общие требования к системам управления учетными записями и правами доступа пользователей и автоматизации процессов, связанных с управлением учетными записями и правами доступа.

Для процессов, связанных с управлением учетными записями и правами доступа, определяются состав участников и содержание процессов, подлежащих автоматизации, и даются общие рекомендации по разработке и внедрению систем управления учетными записями и правами доступа пользователей.

Положения данного стандарта не описывают детальные требования к управлению учетными записями и правами непосредственно в контролируемых информационных системах, так как подход к реализации управления учетными записями и правами доступа определяется архитектурой конкретных систем. Устанавливаются общие требования по реализации процессов управления в ИС.

Стандарт предназначен для организаций, занимающихся разработкой и внедрением подобных систем, а также организаций, использующих или планирующих использовать подобные системы.

     2 Нормативные ссылки

В настоящем стандарте использованы нормативные ссылки на следующие стандарты:

ГОСТ 33707 (ISO/IEC 2382:2015) Информационные технологии. Словарь

ГОСТ Р ИСО/МЭК 15504-2 Информационная технология. Оценка процесса. Часть 2. Проведение оценки

ГОСТ Р 50922 Защита информации. Основные термины и определения

ГОСТ Р 59383 Информационная технология. Методы и средства обеспечения безопасности. Основы управления доступом

Примечание - При пользовании настоящим стандартом целесообразно проверить действие ссылочных стандартов в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет или по ежегодному информационному указателю "Национальные стандарты", который опубликован по состоянию на 1 января текущего года, и по выпускам ежемесячного информационного указателя "Национальные стандарты" за текущий год. Если заменен ссылочный стандарт, на который дана недатированная ссылка, то рекомендуется использовать действующую версию этого стандарта с учетом всех внесенных в данную версию изменений. Если заменен ссылочный стандарт, на который дана датированная ссылка, то рекомендуется использовать версию этого стандарта с указанным выше годом утверждения (принятия). Если после утверждения настоящего стандарта в ссылочный стандарт, на который дана датированная ссылка, внесено изменение, затрагивающее положение, на которое дана ссылка, то это положение рекомендуется применять без учета данного изменения. Если ссылочный стандарт отменен без замены, то положение, в котором дана ссылка на него, рекомендуется применять в части, не затрагивающей эту ссылку.

     3 Термины и определения

В настоящем стандарте применены термины по ГОСТ Р 50922, ГОСТ 33707, а также следующие термины с соответствующими определениями:

3.1 атрибут объекта: Элемент данных объекта, который задает наименование, формат, диапазон возможных значений и представление значений при обращении.

Примечание - В качестве объектов могут выступать элементы кадровых данных, объекты каталога пользователей, контролируемые объекты информационной системы.

3.2 бизнес-роль: Роль, не привязанная к конкретной контролируемой информационной системе и используемая для формирования стандартного набора прав доступа, необходимого для выполнения определенной задачи, выполняемой в рамках какого-либо бизнес-процесса организации.

3.3 групповые права доступа пользователя: Права доступа пользователя к информационным ресурсам, предоставленные автоматически на основании правил, настроенных в системе управления учетными записями и правами доступа.

Примечание - Правила могут предоставлять права доступа пользователю на основании его положения в организационно-штатной структуре организации или иных атрибутов пользователя.

3.4 единый каталог пользователей: Каталог системы управления учетными записями и правами доступа, использующийся для хранения перечня пользователей, их данных, ролей, учетных записей и их прав, а также организационно-штатной структуры организации, с указанием позиций, занимаемых в ней пользователями.

3.5 инвентаризация контролируемых объектов информационной системы: Процедура определения перечня контролируемых объектов информационной системы, их владельцев, уровней критичности, подтверждения соответствия состояния контролируемых объектов правилам информационной безопасности, установленным в организации.

3.6 индивидуальные права доступа пользователя: Права доступа пользователя к информационным ресурсам, предоставленные пользователю персонально на основании запроса в системе управления учетными записями и правами доступа либо в результате легализации уже имеющихся прав доступа к информационным ресурсам.

3.7

информационная система; ИС: Совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.

[[1], статья 2, пункт 3]

3.8 информационный ресурс; ИР: Именованный элемент контролируемой информационной системы, использующийся в модели разграничения доступа информационной системы как объект доступа.

3.9 источник кадровых данных: Информационная система, подключенная к системе управления учетными записями и правами доступа, являющаяся источником данных о сотрудниках и об организационно-штатной структуре организации.

3.10 ИТ-роль: Роль, относящаяся к конкретной контролируемой информационной системе и используемая для формирования стандартного набора прав доступа в данной информационной системе.

Примечание - Как правило, ИТ-роль соответствует какой-либо функции, выполняемой пользователем в данной информационной системе.

3.11 коннектор: Отчуждаемый программный модуль, используемый для интеграции системы управления учетными записями и правами доступа и контролируемой информационной системы или чтения источника кадровых данных, имеющий стандартизованный для данной системы управления учетными записями и правами доступа программный интерфейс.

Примечание - В коннекторе реализуются процедуры чтения, создания, изменения, удаления контролируемых объектов информационной системы.

3.12 контролируемая информационная система: Система, подключенная к системе управления учетными записями и правами доступа, в которой осуществляется управление и/или контроль учетных записей и прав доступа пользователей.

3.13 контролируемый объект информационной системы: Объект информационной системы, используемый для разграничения доступа пользователей в информационной системе.

Примечания

1 Контролируемыми объектами в информационной системе обычно являются учетные записи, организационные единицы, роли либо группы, информационные ресурсы, права доступа.

2 Номенклатура таких объектов зависит от архитектуры конкретной информационной системы.

3.14 критический информационный ресурс: Информационный ресурс, получение доступа к которому нарушителем информационной безопасности организации может нанести значительный ущерб.

3.15 легальные права доступа: Права доступа пользователя к информационным ресурсам, предоставленные в установленном в организации порядке.

3.16

нарушитель информационной безопасности организации: Физическое лицо или логический объект, случайно или преднамеренно совершивший действие, следствием которого является нарушение информационной безопасности организации.

[ГОСТ Р 53114-2008, статья 3.3.5]

3.17

несанкционированный доступ: Доступ к информации или к ресурсам автоматизированной информационной системы, осуществляемый с нарушением установленных прав и (или) правил доступа.

[ГОСТ Р 53114-2008, статья 3.3.6]

3.18 обратная синхронизация: Процесс передачи данных контролируемой информационной системы или источника кадровых данных в систему управления учетными записями и правами доступа, связанный с созданием, изменением или удалением объектов единого каталога пользователей.

3.19 организационная единица: Элемент организационно-штатной структуры организации, подразделение с перечнем находящихся в нем сотрудников.

3.20 организационно-штатная структура организации: Схематическое представление структуры организационных единиц организации в порядке существующей иерархии, а также перечень должностей в организационных единицах и перечень сотрудников.

Примечание - Организационно-штатная структура организации может храниться в кадровой системе организации, едином каталоге пользователей системы управления учетными записями и правами доступа и частично в контролируемых информационных системах (структура организационных единиц).

3.21 парольная политика: Набор правил, определяющих требования к паролям и способам их создания и изменения, а также правила использования паролей в информационной системе.

3.22

политика информационной безопасности (организации): Формальное изложение правил поведения, процедур, практических приемов или руководящих принципов в области информационной безопасности, которыми руководствуется организация в своей деятельности.

[ГОСТ Р 53114-2008, статья 3.2.18]

3.23 пользователь: Лицо, имеющее учетную запись в контролируемых ИС и доступ к ИР организации.

Примечание - Пользователями могут быть сотрудники организации и лица, имеющие договорные отношения с организацией и выполняющие работы с использованием ИР организации.

3.24 право доступа: Право, предоставленное пользователю на санкционированное использование информационных ресурсов.

3.25 прямая синхронизация: Процесс передачи данных из системы управления учетными записями и правами доступа в контролируемую информационную систему, связанный с созданием, изменением или удалением контролируемых объектов информационной системы.

Доступ к полной версии документа ограничен
Этот документ или информация о нем доступны в системах «Техэксперт» и «Кодекс».
Нужен полный текст и статус документов ГОСТ, СНИП, СП?
Попробуйте «Техэксперт: Базовые нормативные документы» бесплатно
Реклама. Рекламодатель: Акционерное общество "Информационная компания "Кодекс". 2VtzqvQZoVs
Получить доступ