Как регулируется управление доступами в банковской отрасли?

ГОСТ Р 57580.1-2017 задает базовые принципы безопасного управления доступами: роли вместо индивидуальных прав (RBAC), минимизация полномочий, журналирование операций, контроль разделения обязанностей (SoD) и регулярная проверка актуальности прав.

На практике эти принципы превращаются в конкретные требования и процедуры — от автоматизации кадровых событий до контроля конфликтов ролей. Мы разобрали, как именно ГОСТ реализуется в банках и какие механизмы IDM этому помогают.

ГОСТ Р 57580.1-2017 формулирует принципы, а также конкретные требования, через которые эти принципы воплощаются в процессах управления доступом.

Принципы включают:

ролевую модель (RBAC) и минимизацию прав;

контроль разделения обязанностей (SoD);

фиксацию оснований, сроков и владельцев прав;

прозрачность и проверяемость всех операций.

Реализуются они через требования ГОСТ:

единый порядок создания, изменения, блокирования и отзыва прав;

разделение учетных записей для админских задач;

журналирование всех операций;

регулярную ресертификацию прав;

управление внешними учетными записями и сроками их действия.

Рассмотрим, как эти требования работают в некоторых типовых ситуациях.

1. Прием сотрудников и стартовые роли

Требование ГОСТ:

Все доступы выдаются на основании регламентированных процессов, строго в рамках ролевой модели.

Практика:

автоматизация кадровых событий в IDM;

формирование стартовых ролей по должностям;

настройка правил назначения и автоназначения прав;

обязательное указание основания в каждом запросе;

ограничение выдачи прав определенным группам сотрудников;

SLA на выдачу и отзыв прав;

журналирование всех операций.

2. Сотрудники, которым забыли закрыть доступ

Требование ГОСТ:

У каждой учетной записи должен быть владелец, срок действия и правила автоматического отзыва.

Практика:

временные роли и учетные записи с заданным сроком действия;

автоматическая блокировка и отзыв при неактивности;

связывание всех учетных записей с сотрудниками, включая штатных;

единые правила применяются для всех типов пользователей.

3. Нестандартные права и разделение обязанностей (SoD)

Требование ГОСТ:

Контроль разделения обязанностей и обработка исключений с компенсационными мерами.

Практика:

настройка правил конфликтов в IDM;

уведомления о несовместимости ролей при формировании запроса;

автоматическое создание документов для фиксации исключений;

ограничения для отдельных групп сотрудников на включение конфликтных ролей.

Сейфы запирают....png

1IDM November 06, 2025

Cookie-файлы
Настройка cookie-файлов
Детальная информация о целях обработки данных и поставщиках, которые мы используем на наших сайтах
Аналитические Cookie-файлы Отключить все
Технические Cookie-файлы
Другие Cookie-файлы
Мы используем файлы Cookie для улучшения работы, персонализации и повышения удобства пользования нашим сайтом. Продолжая посещать сайт, вы соглашаетесь на использование нами файлов Cookie. Подробнее о нашей политике в отношении Cookie.
Понятно Подробнее
Cookies