5.1 Целью процесса управления УЗ и правами доступа является обеспечение своевременного предоставления пользователям доступа к ИР организации и гарантий того, что всем УЗ пользователей в ИС доступ к ИР предоставлен в соответствии с правилами политики ИБ организации.
5.2 Для достижения данной цели должно обеспечиваться выполнение следующих требований:
- все УЗ пользователей в ИС должны быть инвентаризованы и привязаны к конкретным пользователям;
- должны быть инвентаризованы все ИР в ИС, доступ к которым в соответствии с установленными в организации правилами должен разграничиваться. Права доступа УЗ к ИР также должны быть инвентаризованы;
- все УЗ пользователей в ИС должны создаваться, изменяться, блокироваться/разблокироваться и удаляться в соответствии с установленными правилами;
- права доступа учетных записей к ИР в ИС должны быть предоставлены в соответствии с установленными правилами. Любые изменения прав доступа УЗ к ИР должны осуществляться в соответствии с установленными правилами;
- любые несанкционированные изменения УЗ и их прав доступа к ИР должны выявляться. По фактам несанкционированных изменений должны оповещаться ответственные лица и проводиться расследование в установленном порядке.
5.3 Управление УЗ и правами доступа с применением СУУЗиПД в общем случае охватывает:
- процессы ведения единого каталога пользователей;
- процессы создания, изменения, блокирования/разблокирования и удаления УЗ пользователей в ИС;
- контроль соблюдения парольной политики для паролей УЗ пользователей в ИС;
- процессы назначения прав доступа УЗ к ИР на основании ролевой модели;
- ведение ролевой модели организации;
- контроль за соблюдением политики ИБ в части прав доступа УЗ к ИР.