ГОСТ Р ИСО/МЭК 27017-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Правила применения мер обеспечения информационной безопасности на основе ИСО/МЭК 27002 при использовании облачных служб
9.2 Процесс управления доступом пользователей
Применяется цель, определенная в ИСО/МЭК 27002 (подраздел 9.2).
9.2.1 Регистрация и отмена регистрации пользователей
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.1. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
(Дополнительные рекомендации по реализации не применяются) | Для управления доступом пользователей со стороны потребителя облачных служб поставщик облачных служб должен предоставить потребителю функции регистрации и снятия с учета пользователей, а также спецификации для использования этих функций |
9.2.2 Предоставление пользователю права доступа
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.2. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
(Дополнительные рекомендации по реализации не применяются) | Поставщик облачных служб должен предоставить функции управления правами доступа пользователю облачных служб со стороны потребителя служб, а также спецификации для использования этих функций |
Дополнительная информация для облачных служб
Поставщик облачных служб должен обеспечить поддержку сторонних технологий идентификации и управления доступом для своих облачных служб и соответствующих интерфейсов администрирования. Эти технологии позволяют упростить интеграцию и администрирование удостоверений пользователей между системами потребителя облачной службы и облачной службой, а также упростить использование нескольких облачных служб за счет поддержки таких возможностей, как единый вход.
9.2.3 Управление привилегированными правами доступа
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.3. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен использовать достаточные методы аутентификации (например, многофакторную аутентификацию) для аутентификации своих администраторов облачных служб при использовании возможностей администрирования облачной службы в соответствии с выявленными рисками | Поставщик облачных служб должен предоставить достаточные методы аутентификации для аутентификации администраторов облачных служб со стороны потребителя при использовании возможностей администрирования облачных служб в соответствии с выявленными рисками. Например, поставщик облачных служб может предоставить возможности многофакторной аутентификации или разрешить использование сторонних механизмов многофакторной аутентификации |
9.2.4 Процесс управления секретной аутентификационной информацией пользователей
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.4. Применяются также следующие рекомендации, касающиеся облачных служб.
Рекомендации по реализации для облачных служб
Потребитель облачных служб | Поставщик облачных служб |
Потребитель облачных служб должен убедиться, что процедура управления, применяемая поставщиком службы для выделения секретной аутентификационной информации, такой как пароли, соответствует требованиям потребителя облачных служб | Поставщик облачных служб должен предоставить информацию о процедурах, которые он предоставляет для управления секретной аутентификационной информацией потребителя службы, в том числе о процедуре выделения такой информации и аутентификации пользователей |
Дополнительная информация для облачных служб
Потребитель облачных служб должен контролировать управление секретной аутентификационной информацией, используя собственные или сторонние технологии идентификации и управления доступом.
9.2.5 Пересмотр прав доступа пользователей
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.5.
9.2.6 Аннулирование или корректировка прав доступа
Применяются меры обеспечения ИБ, соответствующие им рекомендации по реализации и дополнительная информация, определенные в ИСО/МЭК 27002, пункт 9.2.6.
Подписаться на обновления