Статьи
02/07/2026
Разграничение доступа в вузах: как не дать лишние права кафедрам, деканатам и подрядчикам
Наталья Лабынцева
Ведущий консультант по ИБ в «КИТ»
Управление доступом, правами и привилегиями в информационно-телекоммуникационной инфраструктуре (далее — ИТ-инфраструктура, ИТ) является одним из базовых мероприятий в любой компании в рамках обеспечения информационной безопасности (далее — ИБ). Стоит отметить, что управление доступом имеет цикличный, повторяющийся, характер, поскольку процесс и соответствующие меры затрагивают весь жизненный цикл учетных записей и предоставляемых прав — от их создания до удаления.
Высшие учебные заведения (далее — ВУЗ) имеют обширную ИТ-инфраструктуру и эксплуатирует различные информационные активы — сетевое и серверное оборудование, информационные системы, лабораторные стенды, программные и программно-аппаратные модули для учебного процесса. Наличие такого множества ИТ-активов часто порождает проблему в части предоставления избыточных прав и привилегий, а также в части несвоевременного контроля или «выпадения» актива из поля зрения системных администраторов и специалистов по ИБ.
Сложность в процессах управления и разграничения доступа в ВУЗах заключается не только в масштабной ИТ-инфраструктуре, но и в организационной структуре. Так, ВУЗы, как и любые организации, часто привлекают подрядчиков (контрагентов) для выполнения отдельных задач, например, для администрирования отдельных ИТ-компонентов. Однако, в том числе, для преподавания или проведения отдельных учебных мероприятий приглашаются внешние специалисты — внешние совместители, которые частично (не на полную ставку) трудоустроены в учебное заведение или привлечены в рамках договоров гражданско-правового характера. При этом не стоит забывать про внутреннюю иерархию в организационно-штатной структуре: ВУЗы так же имеют отдельные штатные структуры по аналогии со структурными подразделениями в любом юридическом лице. Так, иерархия может быть ступенчатой, когда в начале стоит проректор по определенной деятельности, а в подчинении у него находятся кафедры, отделы, управления и даже отдельные институты в рамках университета, которые, в свою очередь, так же могут подразделяться на структуры нижнего уровня. Например, организационно-штатная иерархия может выглядеть следующим образом:
Стоит отметить, что в рамках конечной структурной единицы существует разделение по должностям, которое создает иерархию и разные права доступа для сотрудников. Соответственно, совокупность описанных факторов требует особого внимания при управлении доступами в ИТ-инфраструктуре ВУЗа.
В рамках данной статьи предлагается рассмотреть следующие шаги по тому, как разграничивать доступ и не предоставлять избыточные права для внутренних и внешних лиц.
1. Инвентаризация информационных активов ВУЗа
Первым шагом в построении любых процессов и выборе мер обеспечения ИБ является инвентаризация объектов защиты — информационных активов ВУЗа, т. е. компонентов ИТ-инфраструктуры. К таким активам относятся не только полноценные информационные системы, но и различные программные и программно-аппаратные комплексы / средства, представляющие ценность для университета. При этом ИТ-активы могут быть изолированными (например, стенды для лабораторных испытаний, не подключенные к корпоративной сети) или могут быть составной частью ИТ-инфраструктуры, но не относящейся к одной конкретной системе (например, сетевое оборудование, обеспечивающее взаимодействие внутри ИТ-инфраструктуры). Итак, можно выделить следующие типовые информационные активы ВУЗа:
  • корпоративные автоматизированные / информационные системы (бухгалтерские и административно-хозяйственные системы, системы документооборота, системы управления предприятием, «личный кабинет сотрудника» и т. д.);
  • инфраструктурные сервисы и компоненты (почтовые сервисы, телефония, доменная инфраструктура, файловые хранилища, сетевое оборудование, центр сертификатов и т. д.);
  • системы взаимодействия со студентами и организации образовательной деятельности (системы дистанционного обучения, системы учета и выставления оценок, «личный кабинет студента», системы планирования учебной деятельности и т. д.);
  • системы, предназначенные для взаимодействия с государственными органами или контрагентами (выделенные рабочие места или системы для передачи информации в государственные информационные системы, сервисы для электронного документооборота с внешними сторонами и т. д.);
  • программные и программно-аппаратные средства / комплексы, предназначенные для проведения учебных занятий (учебные стенды, выделенные вычислительные мощности для программного обеспечения, систем и сервисов, предоставленных по академической лицензии, и т. д.);
  • испытательные и измерительные стенды, лабораторное оборудование с программным модулем, станки с числовым программным управлением.
При этом ВУЗ может заниматься иными видами деятельности, помимо образовательной. Так, университет может иметь собственную медико-санитарную часть (больница, поликлиника) или производственные участки. Соответственно, стоит обратить внимание на каждый ИТ-актив учреждения в рамках всех осуществляемых видов деятельности, чтобы избежать пробелов и слепых зон.
Инвентаризация активов требуется для того, чтобы определить, что необходимо контролировать и к чему предоставляется доступ в существующей ИТ-инфраструктуре.
2. Идентификация участников и их полномочий
Следующий шаг — это определить, кому необходим доступ к выявленным ИТ-активам для выполнения должностных или договорных обязательств, то есть идентифицировать пользователей. Необходимо выявить внутренних и внешних лиц, которые могут пользоваться системами ВУЗа. К таким лицам, например, относятся:
  • сотрудники, включая высшее руководство;
  • внешние совместители;
  • физические лица, являющиеся работниками организации (индивидуального предпринимателя), с которой заключены договорные отношения;
  • физические лица, в том числе индивидуальные предприниматели и самозанятые, с которыми заключены договоры гражданско-правового характера;
  • студенты и аспиранты.
При этом идентификацию участников необходимо осуществить в разрезе каждого информационного актива ВУЗа, выявленного на прошлом этапе. Так можно получить полную картину о лицах, задействованных в эксплуатации систем, сервисов и компонентов.
Помимо определения пользователей, требуется выяснить, какие права им нужны для выполнения должностных и договорных обязательств: кому необходим привилегированный доступ, кому — упрощенный доступ к определенной функциональности, кому — базовые возможности. Также стоит учитывать иерархическую структуру в организации процессов ВУЗов. Так, на практике руководители и вышестоящие работники имеют более расширенные возможности в системе по сравнению с подчиненными сотрудниками и менее опытными коллегами. Такое «неравенство» в доступах обусловлено установленными в ВУЗе процедурами и процессами. Например, ученый секретарь будет иметь больше прав в учетной или иной системе по сравнению с коллегами-преподавателями, поскольку секретарь обеспечивает научно-административную координацию в рамках закрепленной за ним своей ответственности (кафедра, ученый совет и т. д.), а также помогает коллегам по возникающим вопросам и в случае возникновения форс-мажоров.
Погружение в осуществляемые процессы ВУЗа позволит не только идентифицировать участников, но и сгруппировать их. На практике учетные записи пользователей объединяют в группы для предоставления единых (унифицированных) прав доступа. Условно, все пользователи группы «Отдел бухгалтерского учета» имеют доступ к папке «Бухгалтерия», расположенной на корпоративном файловом хранилище. Также на практике сотрудники (внешние лица) могут взаимозаменять другу друга, имея доступ к одному и тому же компоненту для реализации установленных обязанностей. Поэтому помимо персонифицированных учетных записей создаются общие учетные записи, доступ к которой могут иметь несколько лиц сразу. Например, для администрирования сетевого оборудования создается учетная запись с привилегированными правами, которой могут воспользоваться несколько сотрудников отдела информационных технологий, поскольку они знают заданные единые идентификатор и аутентификатор. Проще говоря, знают логин и пароль от данного оборудования.
Соответственно, для корректного распределения прав и полномочий рекомендуется проводить интервьюирования / опросы для того, чтобы узнать существующие процессы в структурных единицах (кафедры, отделы и т. д.) и реализуемые функции специалистов.
Таким образом, в рамках данного этапа рекомендуется:
  1. идентифицировать внешних и внутренних пользователей для каждого ИТ-актива;
  2. определить, какая функциональность им необходим для реализации должностных или договорных обязанностей;
  3. по возможности и необходимости, сгруппировать пользователей для предоставления общих прав доступа по объединяющим признакам;
  4. при необходимости, создать неперсонифицированные (общие) учетные записи, предоставив доступ к ним ограниченному кругу лиц.
3. Документирование процесса и техническая реализация
Обеспечения ИБ — это не только техническая реализация мер защиты информации, но и регламентация устанавливаемых (установленных) правил и процедур. Управление доступом не является исключением.
В рамках процессов управления доступом и предоставления прав рекомендуется документально закрепить следующие положения:
  • определение подразделений и лиц, ответственных за жизненный цикл учетных записей. При этом дополнительно можно определить владельцев систем — это сотрудники, ответственные за отдельную (ые) систему (ы) и обладающие знаниями о ее функциональном предназначении. В качестве владельцев могут выступать как администраторы, так и руководители или квалифицированные сотрудники;
  • порядок создания, изменения, блокирования и удаления учетных записей и порядок предоставления прав и привилегий. В том числе рекомендуется закрепить особенности создания общих, привилегированных и сервисных (технических) учетных записей;
  • порядок предоставления доступа в ИТ-инфраструктуру для внешних пользователей;
  • согласование заявок на создание, изменение, блокирование и удаление учетных записей и предоставляемых прав доступа. Согласовывать создающиеся или изменяющиеся атрибуты необходимо не только со специалистами по ИБ, но и с руководителями структурных подразделений и (или) владельцами систем, как с подтверждающими необходимость соответствующих прав;
  • по возможности, роли и выполняемые функции, группы и права доступа. В том числе можно сформировать матрицу доступа и поддерживать ее в актуальном состоянии;
  • права и обязанности сотрудников и ответственных лиц;
  • порядок проведения контрольных мероприятий (аудит учетных записей и предоставленных прав).
Документирование процессов позволит задать единые правила для всех участников и сформировать централизованный подход к обеспечению ИБ в рамках управления доступом.
Управление учетными записями и предоставляемыми правами осуществляется посредством технической реализации. Так, например, для разграничения доступов и контроля прав могут применяться следующие технологии:
  • инфраструктурные сервисы на базе операционных систем Windows и Linux (служба каталогов);
  • механизмы управления доступом, встроенные в общесистемное и прикладное программное обеспечения;
  • специализированные средства защиты информации от несанкционированного доступа (Dallas Lock, Secret Net Studio и т. д.);
  • системы централизованного управления учетными записями (Identity management системы, IdM-системы);
  • системы управления привилегированным доступом (Privileged access management системы, PAM-системы).
Выбор конкретных решений зависит от потребностей и масштаба ИТ-инфраструктуры ВУЗа.
4. Периодический контроль
Управление и обеспечение ИБ — это непрерывный процесс, который функционирует на протяжении всего жизненного цикла ИТ-инфраструктуры и защищаемых объектов информатизации. Согласно лучшим практикам, лучше всего выстраивать ИБ с использованием методологии PDCA (Plan-Do-Check-Act, цикл Деминга-Шухарта): планирование-действие-проверка-корректировка.
Так, предлагаемая методология позволяет непрерывно улучшать систему управления и обеспечения ИБ для эффективной защиты ИТ-инфраструктуры. Цикл Деминга-Шухарта позволяет отслеживать текущее состояние путем проверки, анализировать полученные результаты и предлагать способы к улучшению. То есть ключевым моментом является этап «Проверка» (Check), который направлен на получение объективных результатов и анализ отклонений реальных показателей от ожидаемых для последующего принятия решения о корректировке процедур.
В контексте процессов управления доступом проверка может осуществляться не только путем оценки ИТ-инфраструктуры на соответствие установленным правилам, но и путем проведения аудита учетных записей. Так, в рамках аудита проводится ревизия учетных записей и предоставленных прав: выявляются незаблокированные учетные записи уволенных сотрудников, избыточные привилегии у рядового работника или подрядчика, неиспользуемые учетные записи коллег, которые когда-то создавались для решения отдельных задач, и так далее. То есть основная цель аудита — это найти потенциальные нарушения установленных правил и минимизировать риск возникновения инцидента ИБ (например, утечки информации или нарушение работоспособности системы ввиду непреднамеренных действий).
Ввиду того что ИТ-инфраструктуры ВУЗов масштабные, контрольные мероприятия можно проводить с разбивкой по системам в разные периоды. Например, в одном месяце провести аудит учетных записей в инфраструктурных сервисах, в другой — в корпоративной системе бухгалтерского учета. Периодичность аудита определяется ВУЗом самостоятельно, однако рекомендуется осуществлять его не реже 1 раза в год, поскольку за 1 календарный год происходит достаточно большое количество кадровых и организационных изменений (прием на работу, смена должности и т. д.).
Таким образом, в рамках данной статьи были рассмотрены основные подходы к управлению доступом в ВУЗах. Стоит отметить, что каждая ИТ-инфраструктура индивидуальна и зависит от деятельности ВУЗ, поэтому выбор конкретных технологий и порядков при разграничении доступов так же осуществляется индивидуально, не препятствуя основным видам деятельности и осуществляемым (образовательным, научным, производственным и другим) процессам учреждения.