CC BY
1
УДК 004.056.53
РАЗГРАНИЧЕНИЕ ДОСТУПА ПРИ ОРГАНИЗАЦИИ ПРЯМОГО ПОДКЛЮЧЕНИЯ ОРГАНОВ ИСПОЛНИТЕЛЬНОЙ ВЛАСТИ К ИНФРАСТРУКТУРЕ УНИВЕРСИТЕТА
К. П. Спирин Научный руководитель - В. В. Золотарев
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: konsspirin@mail.ru
В работе приведен пример разграничения доступа при организации прямого подключения органов исполнительной власти к инфраструктуре университета
Ключевые слова: информационная безопасность, разграничение доступа, организация подключения.
DIFFERENTIATION OF ACCESS WHEN ORGANIZING DIRECT CONNECTION OF EXECUTIVE AUTHORITIES TO THE INFRASTRUCTURE OF THE UNIVERSITY
K.P. Spirin Scientific Supervisor - V. V. Zolotarev
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarskii rabochii prospekt, Krasnoyarsk, 660037, Russian Federation
E-mail: konsspirin@mail.ru
The paper provides an example of access differentiation in the organization of direct connection of executive authorities to the infrastructure of the university
Keywords: information security, access control, connection organization.
В процессе работы высших учебных заведений может возникнуть потребность организации прямого подключения органов исполнительной власти к инфраструктуре университета с целью получения определенных сведений о работающем персонале и (или) обучающихся. Создание подобного подключения может привести к определенным рискам в области информационной безопасности.
Обеспечение защиты информации в государственных информационных системах (ГИС), используемых для прямого подключения, регламентируется руководящими и нормативно-методическими документами:
1. Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» определяет для владельца информации и оператора информационных систем (ИС) необходимость защиты информации в ГИС.
2. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 устанавливает требования по защите информации в соответствии с 149-ФЗ для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.
Для безопасного взаимодействия органов исполнительной власти и университета, необходимо определить перечень лиц, допущенных к работе с каналом подключения органов исполнительной власти, определить ответственное лицо.
Актуальные проблемы авиации и космонавтики - 2022. Том 2
В первую очередь необходимо назначить администратора безопасности и определить его обязанности, такие как администрирование системы прямого подключения органов исполнительной власти и средств защиты информации, используемых при этом подключении. [1] Также необходимо разработать и утвердить руководство администратора безопасности при работе с прямым каналом передачи информации. Руководство должно определять какими документами руководствуется администратор в своей работе, такими как:
- политика информационной безопасности университета;
- руководящие и нормативные документы Федеральной службы по техническому и экспортному контролю (ФСТЭК)[2][3];
- руководящими документами подключаемого органа исполнительной власти.
Также руководство содержит должностные обязанности администратора, включающие в себя:
- знание и выполнение требований, действующих нормативных и руководящих документов, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации;
- обеспечение установки, настройки и своевременного обновления средств защиты прямого подключения, а также программного обеспечения(ПО) автоматизированного рабочего места (АРМ) и серверов (операционные системы, прикладное и специальное ПО);
- обеспечение работоспособности прямого подключения и элементов, обеспечивающих это подключение;
- в случае отказа работоспособности канала передачи, принимать меры по восстановлению и выявлению причин, приведших к отказу работоспособности;
- осуществление контроля за порядком учета, создания, хранения и использования резервных и архивных копий массивов данных, используемых в подключении;
- не допускать к работе на АРМ и серверах посторонних лиц, осуществлять контроль при монтаже оборудования сторонними специалистами, в том числе органов исполнительной власти;
- проводить контроль за выполнением комплекса мероприятий по обеспечению безопасности информации.
Помимо администратора, осуществляющего контроль за каналом подключения органа исполнительной власти, возможно наличие пользователя данного канала подключения, который осуществляет обработку запросов органов исполнительной власти. Пользователь руководствуется в своей работе политикой информационной безопасности университета, руководящими и нормативными документами ФСТЭК, руководящими документами подключаемого органа исполнительной власти [2][3].
Обязанности таких пользователей прописываются в отдельном руководстве пользователя и включает в себя:
- знание и выполнение требований, действующих нормативных и руководящих документов, руководств по защите информации и распоряжений, регламентирующих порядок действий по защите информации;
- выполнение на АРМ только тех процедур, которые определены должностными инструкциями и обязанностями пользователя и ограничены разграничением прав доступа;
- соблюдать требования парольной политики;
- соблюдать правила при работе в сетях общего доступа и (или) сети Интернет, если канал прямого подключения органов исполнительной власти не изолирован от них;
- при обнаружении нарушений информационной безопасности, в том числе со стороны органа исполнительной власти обращаться к администратору безопасности данного канала подключения.
При этом пользователям запрещается разглашать защищаемую информацию третьим лицам, копировать данную информацию на личные внешние носители информации, модифицировать ПО, устанавливать стороннее ПО.
В заключение стоит отметить необходимость своевременно удалять учетную запись уволенных пользователей, производить периодическую смену паролей и ключей.
Библиографические ссылки
1. Приказ ФСТЭК России от 18 февраля 2013 г. № 21 [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/561. (дата обращения 28.02.2022).
2. Приказ ФСТЭК России от 11 февраля 2013 г. № 17 [Электронный ресурс]. URL: https://fstec.ru/component/attachments/download/566. (дата обращения 28.02.2022).
3. Федеральный закон от 27 июля 2006 г. N 149-ФЗ Об информации, информационных технологиях и о защите информации [Электронный ресурс]. URL: https://fstec.ru/ tekhnicheskaya-zashchita-informatsii/dokumenty/107-zakony/364-federalnyj-zakon-ot-27-iyulya-2006-g-n-149-fz (дата обращения 28.02.2022).
© Спирин К. П., 2022
