К основному контенту
secenta
Войти
СтатьяБесплатный урок10 мин

Информация как объект защиты

Разбираем, что такое информация с юридической и практической точки зрения, кто такой обладатель информации, какие бывают формы представления и почему именно информация — главный актив.

текстОт бытового слова к юридическому термину

Почему мы начинаем с определения

Слово «информация» кажется интуитивно понятным: новости, файлы, переписка, фотографии. Но как только речь заходит о защите, бытовое понимание перестаёт работать. Чтобы что-то защищать, нужно сначала договориться, что именно мы защищаем, кому это принадлежит и какие действия с этим возможны. Поэтому профессиональный разговор об информационной безопасности (ИБ) всегда начинается с точных определений — и в России они закреплены законом.

Ключевой документ — Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — ФЗ-149). В статье 2 он даёт легальное определение:

Информация — сведения (сообщения, данные) независимо от формы их представления.

Обратите внимание на формулировку «независимо от формы». Это означает, что закон не делает разницы между записью в блокноте, сообщением в мессенджере, базой данных на сервере и устным разговором. Информация — это содержание, а не носитель. Лист бумаги, жёсткий диск, флешка — это носители; сведения, которые на них зафиксированы, и есть информация.

Информация и данные — не синонимы

В ИТ-практике принято различать данные и информацию, хотя ФЗ-149 ставит их в один ряд как близкие понятия.

  • Данные — это форма представления сведений, пригодная для хранения, обработки и передачи (например, последовательность байтов, строка в таблице).
  • Информация — это смысл, который человек извлекает из данных в конкретном контексте.

Пример: строка 1947 — это данные. Является ли она годом, ценой, номером дома или паролем — зависит от контекста. Когда мы понимаем смысл, данные становятся информацией. Для специалиста по ИБ это различие практично: защищать приходится и данные (как объекты в системе), и информацию (как смысл, который нельзя раскрывать постороннему).

Информация как актив

В современной организации информация — это актив, то есть ценность, которая работает на бизнес и которую можно потерять. Клиентская база, исходный код, финансовая отчётность, договоры, ноу-хау, персональные данные сотрудников — всё это активы. У актива есть стоимость: прямая (затраты на создание) и косвенная (ущерб от утечки, штрафы, потеря репутации, упущенная выгода).

Именно поэтому ИБ — не «про компьютеры», а про управление ценностью и рисками. Технические средства (антивирусы, межсетевые экраны) — лишь инструменты. Цель — сохранить ценность информационного актива в нужном состоянии.

Типичная ошибка новичка

Начинающие часто отождествляют информацию с файлом или сервером и считают, что «защитить информацию» = «защитить компьютер». Это сужает картину. Информация существует в нескольких состояниях: в покое (хранится на диске), в движении (передаётся по сети) и в обработке (находится в оперативной памяти, на экране, в голове сотрудника). Защищать нужно во всех трёх состояниях. Утечка через распечатку, фотографию экрана или разговор в курилке — такая же утечка, как взлом сервера.

Мини-итог

  • Информация — это сведения независимо от формы (ФЗ-149, ст. 2).
  • Носитель и содержание — разные вещи; защищаем содержание.
  • Информация — это актив с измеримой ценностью.
  • Она существует в покое, в движении и в обработке — и защищать нужно везде.
текстОбладатель информации, доступ и категории доступности

Кто хозяин информации

Если информация — актив, у неё должен быть владелец. ФЗ-149 вводит специальный термин:

Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.

Обладателем может быть гражданин, организация, государственный орган. Именно обладатель решает, кому давать доступ, а кому нет. Это важный практический момент: в проектах по ИБ один из первых вопросов — «кто обладатель этих данных и какие у него правила?». Без ответа невозможно определить, что считать нарушением.

Закон закрепляет за обладателем (ст. 6 ФЗ-149) право разрешать или ограничивать доступ к информации, использовать её, передавать другим лицам по договору, защищать свои права при незаконном получении информации другими.

Доступ к информации

Ещё одно базовое понятие из ст. 2:

Доступ к информации — возможность получения информации и её использования.

Звучит просто, но из этого определения растёт половина дисциплины. Управление доступом — кто, к чему, когда и как может получить доступ — это центральная задача ИБ. Когда доступ получает тот, кто не должен, мы говорим о несанкционированном доступе (НСД), о котором подробно поговорим в модуле про угрозы.

Категории информации по доступности

ФЗ-149 (ст. 5) делит информацию в зависимости от категории доступа на:

  • общедоступную — к ней доступ не ограничен (например, сведения, которые организация обязана публиковать);
  • информацию ограниченного доступа — доступ к которой ограничен федеральными законами.

К информации ограниченного доступа относятся различные виды тайн: государственная тайна (регулируется отдельным Законом РФ № 5485-1), коммерческая тайна (ФЗ № 98-ФЗ), персональные данные (ФЗ-152, разберём дальше), профессиональные тайны (врачебная, банковская, нотариальная и др.).

Важно: нельзя ограничить доступ к информации произвольно. Закон прямо перечисляет, какие сведения не могут быть отнесены к информации ограниченного доступа — например, нормативные правовые акты, затрагивающие права граждан, информация о состоянии окружающей среды, о деятельности государственных органов (с оговорками).

Конфиденциальность информации

ФЗ-149 даёт ещё одно ключевое определение:

Конфиденциальность информации — обязательное для выполнения лицом, получившим доступ к определённой информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.

Запомните: в российском законе конфиденциальность — это требование (обязанность), а не свойство данных. Это тонкий момент, который часто путают. В технической триаде КЦД (о ней — отдельный урок) конфиденциальность понимается как свойство системы; в ФЗ-149 — как юридическая обязанность не разглашать. Грамотный специалист различает оба смысла и понимает, в каком контексте говорит.

Типичная ошибка

Новички иногда считают, что «раз информация у меня на компьютере, значит, я её обладатель и могу делать что угодно». Это неверно. Доступ к носителю не делает вас обладателем. Сотрудник имеет доступ к клиентской базе, но обладатель — работодатель, и правила использования задаёт он. Нарушение этих правил — основание для дисциплинарной, административной и даже уголовной ответственности.

Мини-итог

  • Обладатель информации определяет правила доступа (ФЗ-149, ст. 2, 6).
  • Доступ — возможность получить и использовать информацию.
  • Информация бывает общедоступной и ограниченного доступа; ограничивать можно только по закону.
  • Конфиденциальность в ФЗ-149 — это обязанность не разглашать, а не свойство данных.
текстЗачем вообще нужна информационная безопасность

Краткая история: почему дисциплина появилась

Защита информации — занятие древнее. Шифры использовали ещё в античности (шифр Цезаря — простая замена букв со сдвигом). Но как самостоятельная инженерная дисциплина ИБ оформилась во второй половине XX века вместе с появлением компьютеров и сетей. Чем больше ценности переходило в цифровой вид, тем выше становилась цена ошибки.

Ключевые вехи: рост корпоративных сетей в 1980-х, первый массовый сетевой червь (червь Морриса, 1988), взрывное распространение интернета в 1990-х, появление электронной коммерции и онлайн-банкинга. Каждый этап добавлял новые угрозы и новые требования. Сегодня практически любая организация зависит от ИТ-систем, а значит — уязвима к атакам на эти системы.

Что такое информационная безопасность

В инженерной (академической) традиции:

Информационная безопасность — это состояние защищённости информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб участникам информационных отношений.

Это рабочее определение, которым пользуются специалисты. Обратите внимание: важно не приписывать это определение Доктрине ИБ РФ. Доктрина (о ней — отдельный урок) трактует понятие шире — как защищённость личности, общества и государства. Академическое и доктринальное определения сосуществуют и применяются в разных контекстах.

Разберём ключевые слова инженерного определения:

  • «состояние защищённости» — ИБ не разовое действие, а поддерживаемое состояние; защита деградирует со временем, если ей не заниматься;
  • «информации и поддерживающей инфраструктуры» — защищаем не только данные, но и серверы, сети, питание, людей;
  • «случайных или преднамеренных» — угроза не обязательно злоумышленник; сбой диска, ошибка сотрудника, пожар тоже относятся к ИБ;
  • «ущерб участникам отношений» — мерой служит ущерб, а не сам факт инцидента.

ИБ, защита информации и кибербезопасность

Эти термины часто путают, хотя они не тождественны.

ТерминЧто охватывает
Защита информацииДеятельность по обеспечению безопасности информации (термин из ГОСТ Р 50922-2006). Это процесс.
Информационная безопасностьСостояние защищённости информации и инфраструктуры. Это результат/состояние.
КибербезопасностьЗащита от угроз в киберпространстве — сетях, цифровых системах. Уже, чем ИБ: фокус на цифровой среде.

Практический вывод: ИБ шире кибербезопасности. Бумажный документ, оставленный на столе, или болтливый сотрудник — это вопросы ИБ, но не кибербезопасности. А вот защита информации — это именно деятельность, конкретные меры, которые приводят систему в состояние защищённости.

Почему это касается каждого

Даже если вы не планируете становиться специалистом по ИБ, базовая грамотность нужна всем. Фишинговые письма, утечки паролей, мошенничество с банковскими картами, шантаж через социальные сети — это повседневная реальность. По данным регуляторов и отраслевых отчётов, подавляющее большинство успешных атак начинается не с изощрённого взлома, а с человеческого фактора: кто-то перешёл по ссылке, открыл вложение, назвал код из СМС. Технологии важны, но самое слабое звено — человек, и грамотность снижает риск кратно.

Типичная ошибка

Распространённое заблуждение — «безопасность мешает работе» и «нас это не коснётся, мы маленькие». На практике малые организации часто страдают сильнее: у них меньше ресурсов на восстановление, а злоумышленники используют автоматизацию и атакуют всех подряд. Грамотно выстроенная ИБ не мешает, а управляет рисками соразмерно ценности — избыточная защита дешёвых данных так же неправильна, как недостаточная защита критичных.

Мини-итог

  • ИБ — состояние защищённости информации и инфраструктуры (академическое определение, не доктринальное).
  • Угрозы бывают случайными и преднамеренными.
  • Защита информации — это деятельность; ИБ — состояние; кибербезопасность — подмножество, про цифровую среду.
  • Главное слабое звено — человек; базовая грамотность критична.

Обсуждение

Задавайте вопросы — преподаватели и сокурсники ответят.

0 тем

Здесь пока тихо. Задайте первый вопрос — это поможет другим.