Конфиденциальность
Конфиденциальность — требование не передавать информацию третьим лицам без согласия её обладателя и свойство данных быть доступными только своим.
Что такое Конфиденциальность
Конфиденциальность информации — обязательное для выполнения требование не передавать информацию третьим лицам без согласия её обладателя. Это определение из статьи 2 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации», и оно точнее бытового «это секрет».
В информационной безопасности конфиденциальность — первый элемент триады КЦД (конфиденциальность, целостность, доступность). Формулируется как свойство: информация доступна только тем субъектам, которые имеют на неё право.
Обратите внимание на смещение смысла. Конфиденциальность — это не про то, что данные секретны сами по себе, а про обязанность того, кто получил доступ. Ваш номер телефона знает курьер, банк и оператор связи — данные не перестают быть конфиденциальными оттого, что их видят несколько сторон. Нарушение — это передача дальше без права.
Конфиденциальность и приватность — не одно и то же
| Конфиденциальность | Приватность (privacy) | |
|---|---|---|
| О чём | Об обязанности хранителя данных | О праве человека на личную жизнь |
| Кто субъект | Тот, кто получил доступ | Тот, о ком данные |
| Типичный вопрос | Не утекло ли наружу? | А имели ли право собирать? |
| Регулируется | 149-ФЗ, 98-ФЗ, NDA | 152-ФЗ, GDPR |
Разница видна на примере: сервис легально собрал данные и надёжно их хранит — конфиденциальность соблюдена. Но если он собрал больше, чем нужно для услуги, приватность нарушена, хотя утечки не было. Обратный случай — данные собраны по всем правилам, но база утекла: приватность пострадала через провал конфиденциальности.
Что такое конфиденциальная информация
Единого перечня «секретного» нет — есть режимы, каждый со своим законом:
- Персональные данные — 152-ФЗ.
- Коммерческая тайна — 98-ФЗ. Важно: режим не возникает сам. Нужны перечень сведений, гриф на носителях, учёт допущенных лиц и порядок обращения. Без этого суд не признаёт информацию коммерческой тайной, даже если она очевидно ценная.
- Служебная, профессиональная, банковская тайна, тайна следствия — Указ Президента РФ № 188 от 06.03.1997 задаёт перечень сведений конфиденциального характера.
- Государственная тайна — 5485-1, отдельный режим, к «конфиденциальной информации» формально не относится.
Утечка данных
Утечка — это неконтролируемое распространение информации за пределы круга лиц, имеющих к ней доступ. Каналы делятся на три группы, и статистика упрямо показывает, что технический взлом — не главный:
- Внешняя атака.Несанкционированный доступ через уязвимость, украденный пароль, фишинг.
- Инсайдер. Сотрудник выгружает базу перед увольнением. Ловится через DLP и аудит в SIEM.
- Халатность. Открытый наружу S3-бакет, дамп базы в публичном репозитории, незапароленный Redis на белом IP. Самая частая и самая обидная категория.
Чем обеспечивают технически
Конфиденциальность держится на трёх опорах: шифрование данных в канале (TLS) и на диске, разграничение доступа по принципу минимальных привилегий, контроль и аудит — DLP на выходе и логирование в SIEM.
При аренде VPS или облачного сервера зона ответственности делится: провайдер отвечает за изоляцию гипервизора и физику ЦОД, вы — за шифрование дисков, доступы и то, что не выставите базу наружу.
Связанные термины
- Информационная безопасность — триада, где конфиденциальность первая
- Персональные данные / 152-ФЗ — самый массовый режим конфиденциальности
- DLP — технический контроль каналов утечки
- Криптография и СКЗИ — чем шифруют
- Несанкционированный доступ — нарушение конфиденциальности
Готовы запустить GPU-задачу?
Запустить GPU-сервер