КиберОценка

A.9.2: Управление доступом пользователей

Обеспечение авторизованного доступа и предотвращение несанкционированного доступа

Подробное описание

Контроль A.9.2 устанавливает формализованные процессы управления жизненным циклом учётных записей: регистрация новых пользователей, назначение прав доступа на основе ролей и должностных обязанностей, периодический пересмотр привилегий, отзыв доступа при увольнении или смене функций. Требует внедрения процедур запроса, одобрения и регистрации доступа, разделения обязанностей между заявителем, утверждающим и администратором. Обязателен регулярный (не реже квартала) аудит активных учётных записей, автоматическая блокировка неиспользуемых аккаунтов и удаление временных учётных записей по истечении срока.

Практические шаги внедрения

  1. 1

    Разработать формализованную процедуру запроса доступа с обязательным согласованием руководителя подразделения и владельца информационного актива

  2. 2

    Внедрить ролевую модель доступа (RBAC) с матрицей соответствия должностей и прав, исключив назначение индивидуальных привилегий вне утверждённых ролей

  3. 3

    Автоматизировать онбординг/оффбординг через интеграцию HR-системы и AD/LDAP с созданием заявок на выдачу/отзыв доступа при найме/увольнении

  4. 4

    Настроить ежеквартальную рекомендацию прав доступа с автоматической генерацией отчётов для руководителей и обязательным подтверждением актуальности

  5. 5

    Установить политику автоматической деактивации учётных записей при неактивности более 90 дней и удаления спустя 180 дней

  6. 6

    Реализовать процесс временного доступа с указанием срока действия и автоматической блокировкой по истечении периода

  7. 7

    Внедрить логирование всех операций управления доступом (выдача, изменение, отзыв) в централизованную SIEM-систему для последующего аудита

Типичные нарушения

  • Отсутствие документированных запросов на предоставление доступа — обнаружены учётные записи, созданные без заявок и согласований руководителей

  • Накопление избыточных прав доступа (права не отзываются при смене должности) — пользователи сохраняют привилегии предыдущих позиций, нарушая принцип наименьших привилегий

  • Неудалённые учётные записи уволенных сотрудников — активные аккаунты обнаружены спустя месяцы после расторжения трудовых договоров

  • Отсутствие регулярной рекомендации прав доступа — последний аудит проводился более года назад, актуальность текущих назначений не подтверждена

  • Использование общих учётных записей без персонализации доступа — невозможно идентифицировать ответственного за действия, нарушена подотчётность

Почему это важно

Отсутствие контроля управления доступом создаёт критические риски: несанкционированный доступ к конфиденциальным данным, невозможность расследования инцидентов из-за отсутствия персонализации, нарушения требований регуляторов (GDPR ст. 32, 152-ФЗ ст. 19, PCI DSS 7.1). Накопление избыточных привилегий увеличивает поверхность атаки, а неудалённые учётные записи бывших сотрудников — прямой вектор внутренних угроз. Формализованные процессы управления доступом снижают вероятность утечек данных на 60% и обеспечивают соответствие аудиторским требованиям.

Проверяемые категории

Leaked Credentials

Проверьте соответствие автоматически

Используйте инструменты КиберОценка для автоматической проверки соответствия контролям безопасности и получения детальных отчётов по выявленным уязвимостям.

Запустите бесплатный аудит безопасности