Для образовательных организаций требования к управлению доступами выводятся из общих норм по защите персональных данных (152-ФЗ, базовые ГОСТы) и отраслевых документов Минобрнауки / Минпросвещения.

В указах и методических рекомендациях Министерства закреплены обязательная аутентификация и авторизация пользователей, разграничение прав доступа, защита персональных данных учащихся и протоколирование действий пользователей.

На практике это означает настройку ролевой модели для сотрудников и обучающихся, разграничение уровней доступа к ресурсам, отказ от общих учетных записей, формализацию процедур выдачи и отзыва прав и обязательное журналирование операций.

В статье мы разобрали, как требования Минобр переводятся в правила и процессы IDM: от ролевой модели и автоназначения прав до контроля сроков доступа и работы с внешними пользователями.

К ключевым принципам относятся:

- индивидуальные учетные записи для всех категорий пользователей;

- ролевая модель (учитель, администратор, ИТ, обучающийся) и минимизация доступа к данным обучающихся;

- защита персональных данных всех участников процесса;

- прозрачность и проверяемость операций (журналирование действий).

На практике это означает, что в образовательных организациях должны быть:

- средства авторизации и аутентификации пользователей, обеспечивающие разграничение прав доступа в электронных журналах и других системах;

- протоколирование действий пользователей с фиксацией времени и автора изменений;

- назначенные ответственные за ИБ и управление доступами.

Далее рассмотрим, как все это работает в типовых ситуациях и как IDM помогает соблюдать эти правила.

Прием сотрудников и обучающихся, назначение стартовых ролей в университетах

Требование Минобр:

Доступ к информации об обучающихся предоставляется только тем сотрудникам, которые участвуют в образовательном процессе, с использованием средств аутентификации, авторизации и разграничения прав доступа. Должны быть локальные акты, определяющие порядок доступа к ПДн и электронным ресурсам.

Практика в IdM:

- автоматизация обработки кадровых событий (прием преподавателя, зачисление обучающегося, назначение руководителя группы);

- формирование стартовых ролей по должности и статусу: преподаватель, руководитель группы, администратор системы, студент;

- настройка правил назначения прав: доступ к нужным журналам, отчетам, сервисам;

- обязательное указание основания для нестандартных прав (приказ, распоряжение, служебная записка);

- журналирование всех операций по выдаче и отзыву прав.

Выпускники, ушедшие сотрудники и забытые учетные записи в университетах

Требование Минобр:

Доступ обучающихся и сотрудников к информационным системам и ресурсам должен быть ограничен их статусом и сроками обучения/работы. Должны быть реализованы организационные и технические меры, исключающие несанкционированный доступ к ПДн после отчисления, выпуска или увольнения.

Практика в IdM:

- привязка всех учетных записей к сотрудникам и обучающимся, включая временный персонал и внешних участников;

- использование ролей и учетных записей с заданным сроком действия (до конца учебного года, до даты окончания договора и т.п.);

- автоматическая блокировка и отзыв прав при изменении статуса: отчисление, выпуск, увольнение, перевод в другую организацию;

- контроль неактивных учетных записей;

- различные правила выдачи и отзыва прав для разных типов пользователей (штат, внешние подрядчики).

Разные уровни прав и ограничение доступа к информации в школьных учреждениях

Требование Минобр:

Организация ограниченного доступа обучающихся в школьных учреждениях к информации в сети Интернет и к электронным ресурсам, с учетом их возраста и статуса. Защита ПДн обучающихся, разграничение доступа сотрудников к данным в соответствии с их функциями.

Практика в IdM:

- построение ролевой модели с разделением доступа:

- обучающийся видит только свои данные и разрешенный контент;

- педагог получает доступ к своим классам/группам и нужной отчетности;

- администрация и ИТ работают с расширенными правами по регламентам;

- настройка правил доступа к разделам систем: журналы, личные дела, отчетность по ПДн, административные модули;

- оформление и согласование исключений (расширенный доступ конкретному сотруднику) с фиксацией оснований и сроков;

- журналирование всех критичных операций и периодический контроль прав ответственных за ИБ.

Так отраслевые требования Минобр к разграничению прав доступа, защите ПДн и ограничению доступа обучающихся к информации можно перевести в понятные процессы в IDM: роли, правила, журналы и регулярный пересмотр прав.