Skip to main content
HashnodeАлександр Кузнецов

Command Palette

Search for a command to run...

Мое высшее образование за 10 минут

Updated
7 min read
А
Александр Кузнецов
💡
This is a Draft Amnesty Week draft. It may not be polished, up to my usual standards, fully thought through, or fully fact-checked. Commenting and feedback guidelines: I'm posting this to get it out there. I'd love to see comments that take the ideas forward, but criticism of my argument won't be as useful at this time. 

Основная часть поста написана 23.02.2022, практически одновременно с началом серии постов про защиту диплома. Изначально я собирался раскрыть еще более подробно каждое из направлений, но это оказалось достаточно сложно, учитывая опыт работы только в двух. Поэтому он так и остался пылиться в черновиках, а чем дольше он лежал, тем менее логичным казалось его публиковать. Сейчас (март 2024) мне этот пост кажется несколько наивным, но в нем нет фактических ошибок (если заметите - обязательно пишите), и я все же считаю, что ему лучше быть, чем не быть, поэтому публикую его почти без изменений.

UPD 15.04.2024: В первой версии поста было указано, что "Общедоступную информацию защищать не нужно". Общедоступную информацию нужно защищать для обеспечения ее целостности и доступности, а информацию ограниченного доступа - еще и для обеспечения конфиденциальности.

Через четыре месяца я закончу университет. Никакого образования в это время уже не будет - только практика и написание диплома. Поэтому я решил, что сейчас самое время подвести итог моему высшему образованию специалиста по (технической) защите информации. Часто во время обучения я сталкивался с тем, что до конца не понимал о чём изучаемый предмет, пока не видел список вопросов к экзамену - он обычно был структурирован, и по нему была понятна общая идея предмета. Точно также и здесь я надеюсь в процессе написания этого поста уложить общую идею всего образования в вид, который был бы понятен мне на первом курсе и помог бы лучше осознавать, что и зачем я изучаю, что и зачем мне может пригодится в будущем.

Информация - что и зачем защищать?

Иногда информацию нужно защищать. Чтобы определить, какую информацию нужно защищать, государство разделило всю информацию на общедоступную информацию и информацию ограниченного доступа. Общедоступную информацию нужно защищать для обеспечения целостности и доступности. Информацию ограниченного доступа нужно защищать, помимо целостности и доступности, еще и для обеспечения ее конфиденциальности, но не всю одинаково. Поэтому информация ограниченного доступа делится на ещё несколько видов, защита которых может отличаться:

Вся государственная система защиты информации строится на том, что кто-то хочет обрабатывать информацию ограниченного доступа. Давайте назовем этого человека Петром Ивановичем. Для того чтобы обрабатывать информацию ограниченного доступа Пётр Иванович создает объект информатизации - это может быть помещение или компьютеры, где планируется обрабатывать требующую защиты информацию. Казалось бы дело сделано - создал объект информации и начинаешь обрабатывать всю необходимую информацию, однако на практике всё сложнее. Для того, чтобы получить право обрабатывать информацию ограниченного доступа на объекте информатизации требуется обеспечить необходимую защиту этой информации. Но что конкретно нужно сделать и как сделать это правильно? Для того чтобы ответить на этот вопрос и существуют специалисты по (технической) защите информации.

Регуляторы и лицензирование - кто и почему должен решать, как защищать?

Теперь нужно определить, как именно защищать информацию ограниченного доступа, для этого существуют регуляторы - органы власти, которые государство наделило правом издавать нормативные документы о том, как правильно защищать ту или иную информацию, то есть регулировать деятельность по защите информации. Примером регуляторов могут быть ФСТЭК России, ФСБ России, МО РФ. Иногда Петру Ивановичу достаточно просто сказать "У меня всё безопасно, я начинаю обрабатывать информацию.", но часто регуляторы делают так, что никто не может обрабатывать информацию ограниченного доступа без их проверки и одобрения. Однако штат регуляторов не позволяет постоянно проверять все существующие организации, поэтому они используют лицензирование. Регулятор издает требования к организации-лицензиату (так называют организацию с лицензией). Потом регулятор проверяет, соответствует ли организация-лицензиат этим требованиям, и если соответствует, то теперь регулятор разрешает этой организации выполнять функции регулятора в узкой области - проверять соответствие других организаций общим требованиям по защите информации, например. Это разрешение на работу и называется лицензией. Такая модель выгодна для всех участников:

  • Регулятор не тратит свои ресурсы на постоянную проверку всех существующих организаций, а делегирует это лицензиатам

  • Лицензиаты оказывают коммерческие услуги - проверяют соответствие требованиям за деньги

  • Пётр Иванович может выбирать из существующих лицензиатов - он не обязан идти только к регулятору

Лицензирование применяется во многих областях в защите информации, например без лицензии нельзя разрабатывать средства защиты информации. Иногда регулятор идёт еще дальше и даже выдаёт лицензии на выдачу лицензий другим организациям. Проверка объекта Петра Ивановича на соответствие требованиям называется аттестацией, потому что в конце этой проверки обычно выдается аттестат, который означает, что Пётр Иванович обеспечил подобающую защиту и может приступать к обработке информации.

Другой используемый регуляторами инструмент - сертификация. Допустим, вы разработали (естественно, предварительно получив лицензию на это) средство защиты. Вы говорите, что оно отлично защищает от всего и соответствует всем требованиям, но вам никто не верит. Для того чтобы вы могли это заявить, вас должен проверить кто-то независимый и подтвердить, что вы действительно разработали хорошее средство и оно соответствует всем требованиям. Подтверждает он это выдачей сертификата. Как вы уже понимаете, полномочия проводить сертификацию есть у регулятора, но он ими делится с использованием уже знакомой нам процедуры - лицензирования. Еще в процессе сертификации участвуют испытательные лаборатории - это на их базе проверяется ваше средство защиты, для их работы также требуется лицензия. В результате вся эта система даёт на выходе конечный продукт - сертифицированное средство защиты информации, которое Пётр Иванович может поставить на свой объект, будучи точно уверенным, что оно удовлетворяет всем требованиям и сделано качественно.

Я уже упомянул, что регулятор имеет право издавать нормативные документы. Нормативные документы постоянно меняются - совершенствуются методики, изменяется подход, исправляются ошибки и неточности. При этом, как правило, после выхода нового документа никому уже не интересно что там было в старом, потому что тот перестал быть актуальным. Поэтому при обучении лучше опираться на принципы, а не на конкретные нормативные документы - документы устареют или могут содержать ошибки, а принципы будут актуальны всегда.

Чаще всего информацию нужно защищать от утечки по техническим каналам и от несанкционированного доступа.

Защита информации от утечки по техническим каналам

Технический канал - это путь утечки информации от источника информации до средства перехвата информации через какую-либо среду распространения. Технические каналы основаны на физических принципах - поэтому изучение физики пригодится для того, чтобы понимать, почему существует тот или иной канал. Чтобы изучать технические каналы и определять возможность утечки по ним используется множество различных комплексов и специального оборудования. Для работы с ними необходимо общее знание теории измерений и базовых принципов работы с приборами. Самые сложные из всех этих приборов - анализаторы спектра. Полезно понимать их внутреннее устройство и принципы функционирования, для этого нет ничего лучше учебника "Основы спектрального анализа" Кристофа Раушера. Большинство курсов по анализаторам спектра строится вокруг этого учебника, поэтому изучение первоисточника точно не повредит. Для работы с анализаторами спектра также бывают нужны антенны, их устройство также полезно знать и понимать. Хороших учебников по акустике в защите информации мало и они достаточно старые, поэтому для изучения общих принципов можно обратиться к акустике в музыкальной сфере - теория октав, частот и распространения звуковых волн одинаковая везде, при этом за счёт популярности музыкальной сферы там гораздо больше наглядного обучающего материала.

Защита от несанкционированного доступа

Помимо технических каналов, иногда нужно защищать информацию от несанкционированного доступа - это, например, когда я получаю доступ к папке другого человека на общем компьютере, где хранится информация, которая мне не предназначалась. Несанкционированный доступ бывает не только при работе с компьютерами, например, я могу пройти в помещение, в которое мне запрещено заходить, потому что кто-то написал код от двери на бумажке над замком. Для этой защиты используются политики разграничения доступа - специальные документы, в которых закрепляется, кому и к чему разрешается/запрещается доступ и как это будет организовано. Политики могут использовать разные модели и правила разграничения доступа - это достаточно активно развивающаяся область. Однако при работе с компьютерами мало написать документ - ведь если рядом с компьютером висит бумажка с надписью "Не заходите в чужие папки" это вряд ли остановит нарушителя. Для практической реализации политик разграничения доступа используются специальные программы - они по вашим данным узнают о том, кто сейчас за компьютером и разрешают вам работать только с вашими папками, а попытки нарушений фиксируют. Такие программы называют средствами защиты информации от несанкционированного доступа. Кстати, это не всегда программы, бывают и настоящие устройства в виде небольших плат - они вставляются в компьютер и обеспечивают его защиту постоянно - а не только после загрузки операционной системы как программы. Настраивать эти программы не всегда просто, потому что операционные системы не привыкли, что кто-то пытается ограничить их работу, поэтому часто возникают конфликты и проблемы, которые нужно решать. Решением этих проблем обычно занимается специалист по защите информации - администратор безопасности.

Где работать в области технической защиты информации?

Подытожим и постараемся определить, где нужны специалисты по технической защите информации:

  1. Работать в конкретной организации и помогать Петру Ивановичу постоянно обеспечивать безопасность одного или нескольких объектов информатизации, например, как администратор безопасности - для этого нужно разбираться в требованиях нормативных документов, а также работе и правильной настройке средств защиты

  2. Работать в организации с лицензией на работы по защите информации и проверять, как Пётр Иванович организовал защиту информации у себя на объекте

  3. Работать в организации с лицензией на проверку других организаций-лицензиатов и проверять, могут ли специалисты из пункта 2 проверять Петра Ивановича

  4. Работать в регуляторе, проверять и выдавать лицензии организациям из пунктов 2 и 3, издавать нормативные документы и не только

  5. Разрабатывать средства защиты информации

  6. Работать в испытательной лаборатории и проверять средства защиты информации, разработанные специалистами из пункта 5

Comments

Join the discussion

No comments yet. Be the first to comment.

More from this blog

Научная основа хорошего сна. Конспект мастеркласса Мэттью Уолкера

Мэттью Уолкер - ученый, занимающийся исследованием сна и его влияния на здоровье. У него достаточно много статей с хорошими показателями (Google Scholar), опубликованная научно-популярная книга "Зачем мы спим" (ЛитРес), серия подкастов и свой центр н...

Oct 1, 202410 min read
А

Александр Кузнецов

26 posts

Базальт СПО и МГТУ им. Н.Э. Баумана. Уведомления о новых постах — в telegram-канале.