Электронный фонд правовой
и нормативно-технической документации
ГОСТ Р 71753-2024 Защита информации. Системы автоматизированного управления учетными записями и правами доступа. Общие требования
ГОСТ Р 71753-2024
НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
СИСТЕМЫ АВТОМАТИЗИРОВАННОГО УПРАВЛЕНИЯ УЧЕТНЫМИ ЗАПИСЯМИ И ПРАВАМИ ДОСТУПА
Information protection. Automatic accounts and access management systems. General requirements
ОКС 35.030
Дата введения 2024-12-20
Предисловие
1 РАЗРАБОТАН Федеральной службой по техническому и экспортному контролю (ФСТЭК России), Обществом с ограниченной ответственностью "СОЛАР СЕКЬЮРИТИ" (ООО "СОЛАР СЕКЬЮРИТИ")
2 ВНЕСЕН Техническим комитетом по стандартизации ТК 362 "Защита информации"
3 УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 30 октября 2024 г. № 1558-ст
4 ВВЕДЕН ВПЕРВЫЕ
Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ "О стандартизации в Российской Федерации". Информация об изменениях к настоящему стандарту публикуется в ежегодном (по состоянию на 1 января текущего года) информационном указателе "Национальные стандарты", а официальный текст изменений и поправок - в ежемесячном информационном указателе "Национальные стандарты". В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя "Национальные стандарты". Соответствующая информация, уведомление и тексты размещаются также в информационной системе общего пользования - на официальном сайте Федерального агентства по техническому регулированию и метрологии в сети Интернет (www.rst.gov.ru)
Введение
Одной из главных задач защиты информации при ее автоматизированной (автоматической) обработке является управление правами доступа. Какими бы совершенными ни были средства, разграничивающие права доступа к информации и пресекающие несанкционированный доступ к ней, они не позволяют защититься от действий пользователей, имеющих легальный доступ к защищаемой информации. При этом нельзя исключать возможность предоставления ошибочного, избыточного доступа пользователям, а также гарантировать своевременное прекращение доступа пользователей по истечении сроков предоставления доступа или изменения статуса пользователя, например при увольнении.
Системы, автоматизирующие управление учетными записями и правами доступа пользователей, позволяют своевременно предоставлять доступ пользователям и прекращать доступ пользователей к информационным ресурсам в сложных гетерогенных системах, состоящих из большого количества подсистем с собственными механизмами идентификации и аутентификации.
Подобные системы позволяют автоматизировать процесс согласования доступа пользователей на основе ролевой модели организации и электронных заявок на управление правами доступа пользователей. Наличие матрицы легальных прав доступа пользователей позволяет осуществлять контроль соответствия легальных и фактических прав доступа пользователей в информационных системах. В случае обнаружения нелегальных прав доступа пользователей об этом информируются ответственные лица и принимаются необходимые меры.
Для контроля соответствия легальных прав доступа пользователей в информационных системах политике информационной безопасности организации в системах автоматизации управления учетными записями и доступом пользователей могут применяться дополнительные средства контроля на основе правил проверки соответствия прав доступа пользователей политике ИБ.
Системы, автоматизирующие управление учетными записями и правами доступа пользователей, могут использоваться как средства защиты информации при построении подсистем информационной безопасности в сложных гетерогенных информационных системах. Они позволяют реализовать часть мер защиты информации, связанных с управлением учетными записями и правами доступа пользователей.
Для понимания положений настоящего стандарта необходимы знания основ информационных технологий, а также способов защиты информации.
1 Область применения
Настоящий стандарт устанавливает общие требования к системам управления учетными записями и правами доступа пользователей и автоматизации процессов, связанных с управлением учетными записями и правами доступа.
Для процессов, связанных с управлением учетными записями и правами доступа, определяются состав участников и содержание процессов, подлежащих автоматизации, и даются общие рекомендации по разработке и внедрению систем управления учетными записями и правами доступа пользователей.
Положения данного стандарта не описывают детальные требования к управлению учетными записями и правами непосредственно в контролируемых информационных системах, так как подход к реализации управления учетными записями и правами доступа определяется архитектурой конкретных систем. Устанавливаются общие требования по реализации процессов управления в ИС.
Чтобы получить полный доступ к этому и другим документам, приобретайте доступ к Информационной сети «Техэксперт» - лидеру в области комплексного обеспечения предприятий нормативно-технической документацией.
доступны в системах «Техэксперт» и «Кодекс»