Три уровня информации: носитель, форма, смысл
Зачем этот документ. В ИБ нет рабочего определения слова «информация» — главного слова всей дисциплины. Из-за этого специалисты десятилетиями спорят о вещах, которые не являются спорными («шифровальщик нарушает доступность или целостность?»), а методики защиты молча смешивают разные объекты защиты, требующие разных мер. Этот документ вводит трёхуровневую структуру, делает классические споры разрешимыми за минуту и — главное — превращается в рабочий инструмент: уровень инварианта определяет состав каналов в любой карте цели защиты.
1. Проблема: одно слово — три объекта
Когда мы говорим «защитить информацию», мы можем иметь в виду три разных объекта:
- Носитель — физический объект или среда, состояниями которой записана информация: диск, бумага, радиоэфир, человек. Философская традиция вообще не отделяет информацию от носителя: информация есть свойство упорядоченности материального объекта.
- Форма — конкретная конфигурация состояний носителя: последовательность битов, букв, сигналов. Это информация по Шеннону: его теория сознательно игнорирует смысл и измеряет только различимость конфигураций. Биты и байты живут здесь.
- Смысл — то, что извлекается из формы интерпретацией: смысловые единицы, знаки в семиотическом понимании. Содержание клиентской базы как знание о клиентах, а не как 4 гигабайта на диске.
Эти три объекта связаны, но не тождественны: одна и та же форма может существовать на многих носителях (файл и его копии), один и тот же смысл — во многих формах (текст, его перевод, пересказ, скан). Пока слово «информация» означает все три объекта сразу, утверждение «информация защищена» не имеет проверяемого содержания.
Прецеденты такого разделения существуют давно и сходятся из независимых дисциплин. Уоррен Уивер в предисловии к работе Шеннона (1949) выделил три уровня проблем коммуникации: технический (точность передачи символов), семантический (точность передачи смысла) и уровень эффективности. Семиотика Чарльза Морриса различает синтактику (отношения знаков между собой), семантику (отношение знака к значению) и прагматику (отношение знака к использующему). Дональд Паркер расширил триаду CIA свойством «владение/контроль» — которое в наших терминах есть утрата носителя или формы без утраты конфиденциальности смысла (украден ноутбук с шифрованным диском). Лучано Флориди в философии информации строит лестницу «данные → осмысленные данные → знание». Конвергенция независимых традиций в одну трёхслойную структуру — сильный довод в её пользу. В мейнстриме ИБ эта структура не доведена до операционного инструмента; настоящий документ делает ровно это.
2. Ключевое уточнение: смысл = форма + интерпретатор
Смысл не содержится в форме. Смысл возникает при соединении формы с интерпретатором — тем, что превращает конфигурацию состояний в содержание: ключ шифрования, кодировка, формат, программное обеспечение, схема базы данных, контекст, профессиональные знания человека.
Это уточнение переводит онтологию в инженерию:
Защита на уровне смысла — это управление множеством интерпретаторов.
Шифрование не «прячет информацию». Оно разрывает штатную связь форма → смысл и передаёт её под исключительный контроль владельца ключа. Обезличивание персональных данных — то же действие: разрушение связи между формой (записями) и смыслом («это сведения о конкретном Иванове»), а споры о достаточности обезличивания — это споры о том, какие остаточные интерпретаторы (вспомогательные наборы данных) позволяют связь восстановить.
Уровни при этом относительны, как слои в стеке протоколов: кодировка UTF-8 — это смысл для последовательности байтов и форма для текста; текст — смысл для букв и форма для содержания документа. Относительность — не дефект, а защита от схоластики: вопрос «где абсолютная граница между формой и смыслом» некорректен, корректен вопрос «на каком уровне сформулирован инвариант данной цели защиты».
3. Матрица 3 × 3: девять целей защиты вместо трёх
Скрещивание классической триады с тремя уровнями даёт девять различимых целей защиты — с разными инвариантами, каналами нарушения и мерами:
| Носитель | Форма | Смысл | |
|---|---|---|---|
| Конфиденциальность | Скрытие существования и местонахождения; контроль физического доступа. Меры: физическая защита, стеганография на уровне факта наличия | Защита от копирования конфигурации битов; побочные каналы; анализ трафика — шифртекст скрывает смысл, но форма выдаёт объём, время, частоту, адресатов. Меры: контроль копирования, защита от ПЭМИН, обфускация трафика | Контроль множества интерпретаторов. Каналы включают пути без копирования формы: пересказ, инференция, агрегация. Меры: шифрование, маскирование, минимизация, контроль выводимости |
| Целостность | Сохранность физического объекта: деградация носителя, подмена оборудования. Меры: условия хранения, контроль цепочки поставок, опечатывание | Битовая неизменность. Меры: хэши, подписи, коды коррекции, WORM-хранение | Неискажённость интерпретации: смысл может быть разрушен при идеально целой форме — цитата вне контекста, подмена схемы данных, отравление обучающей выборки. Меры: защита контекста, фиксация интерпретаторов, провенанс |
| Доступность | Работоспособность оборудования, каналов, инфраструктуры. Меры: резервирование железа, питание, каналы связи | Существование и читаемость копий конфигурации. Меры: резервное копирование, RAID, географическое разнесение | Сохранение возможности интерпретации: ключи, ПО, форматы, документация, люди-носители знаний. Меры: резервирование ключей, экранирование от vendor lock-in, миграция форматов, управление знаниями |
Чтение матрицы по строкам вскрывает систематические ошибки практики. Резервное копирование — мера доступности формы; организация с идеальными бэкапами теряет данные при утрате ключа шифрования или смерти унаследованного формата — потому что не защищала доступность смысла (мёртвые форматы: форма жива, интерпретатор умер). Хэш — мера целостности формы; он бессилен против искажения смысла при сохранной форме. Шифрование диска — мера конфиденциальности смысла против противника с физическим доступом к носителю — и пустая трата против инсайдера, входящего через штатный интерпретатор.
4. Разрешение классических споров
Структура проверяется на спорах, неразрешимых в одноуровневой терминологии.
Шифровальщик. «Нарушена доступность» и «нарушена целостность» — оба ответа верны на своих уровнях: целостность формы нарушена (биты перезаписаны), вследствие чего утрачена доступность смысла (интерпретация невозможна без ключа противника); носитель исправен. Спор существовал только потому, что слово «информация» склеивало уровни. Разрешение продуктивно: оно называет меру — бэкап есть избыточность формы, восстанавливающая доступность смысла, и потому главная угроза для него — шифрование самих резервных копий (избыточность формы без независимости — см. принцип избыточности).
Потеря ключа шифрования. Форма идеально цела и доступна; смысл недоступен навсегда. Одноуровневая терминология даёт парадокс («всё на месте, всё потеряно»); трёхуровневая — диагноз и меру: утрачен интерпретатор → резервирование ключей есть мера доступности смысла, ровно той же природы, что бэкап для формы.
Цитата, вырванная из контекста. Форма сохранена дословно — подпись и хэш сойдутся; целостность смысла разрушена, потому что подменён интерпретатор (контекст). Технические меры целостности этого не ловят в принципе: они работают уровнем ниже нарушенного инварианта.
Украденный шифрованный ноутбук. Утрачены носитель и форма (копия конфигурации у противника); конфиденциальность смысла сохранена, пока сохранён контроль над интерпретатором. Гексада Паркера вводила для этого случая отдельное свойство «владение»; в трёхуровневой структуре оно выводится, а не постулируется.
5. Следствия для методики: уровень инварианта определяет каналы
Главное операционное правило, ради которого документ существует:
Каждая цель защиты обязана объявлять уровень своего инварианта. Декомпозиция каналов ведётся по объявленному уровню.
Следствия:
5.1. Каналы смысла шире каналов формы. «Не дать прочитать клиентскую базу» — конфиденциальность смысла. Значит, в карту каналов обязаны входить пути, на которых форма не копируется вовсе: пересказ, фото экрана, инференция (вывод конфиденциального из совокупности неконфиденциального) и агрегация (каждая запись безобидна — массив чувствителен). Доказательная база по двум последним — одна из лучших в фундаменте: работы Латаньи Свини по k-анонимности (повторная идентификация по дате рождения, полу и индексу) и деанонимизация Нараянана–Шматикова (Netflix Prize) показали, что «обезличенная» форма сохраняет извлекаемый смысл при наличии вспомогательного интерпретатора.
5.2. Две «теоремы о невозможности» вместо двух неловких оговорок. В картах мер дважды встречалось честное признание, висевшее без объяснения; теперь оба — следствия структуры:
- Аналоговая дыра не закрывается техническими мерами — потому что технические меры контролируют носители и формы, а утекает смысл, который мигрирует между носителями через интерпретатора-человека: экран → сетчатка → память → новый носитель. Меры уровня носителя/формы структурно не достают до инварианта уровня смысла.
- DLP слаб против намеренного выноса — потому что DLP распознаёт форму (сигнатуры, отпечатки, шаблоны), а выносимый актив — смысл. Перефразирование меняет форму при сохранении смысла и проходит контроль формы по построению. Это не недоработка вендоров, а несоответствие уровня меры уровню инварианта; устойчивый прогноз: любые средства контроля формы будут обходиться трансформацией формы.
5.3. Уточнение закона сохранения в методе декомпозиции. Базис «утечь может только существующее» инвентаризируется на уровне инварианта: для конфиденциальности смысла инвентаризация охватывает все представления смысла во всех формах на всех носителях — боевая база, реплики, бэкапы, выгрузки, отчёты с агрегатами, экраны, бумага и люди. Включение людей — не метафора: ГОСТ Р 50922 прямо относит физическое лицо к носителям защищаемой информации.
5.4. Диагностический вопрос для любой меры. «На каком уровне работает мера и на каком уровне сформулирован инвариант цели?» Совпадение уровней — необходимое условие эффективности; несовпадение — структурный дефект, который не лечится настройкой. В шаблон карты меры добавляется поле «уровень действия: носитель / форма / смысл», в шаблон карты цели — поле «уровень инварианта».
5.5. Связь с регуляторикой. 152-ФЗ определяет персональные данные семантически: «любая информация, относящаяся к … физическому лицу» — это уровень смысла. Техническая защита по подзаконным требованиям работает преимущественно с формой и носителями. Зазор между семантическим определением объекта и формным уровнем мер — источник хронических практических коллизий (споры об обезличивании, о ПДн в агрегатах и логах), и трёхуровневая структура позволяет их хотя бы корректно формулировать.
6. Граница применимости документа
Риск этого слоя — уход в философствование. Правило остановки: три уровня — рабочий инструмент ровно до тех пор, пока каждая клетка матрицы порождает различимые каналы и меры. Вопросы вида «что есть смысл сам по себе» лежат за границей применимости и в материалы портала не входят. Относительность уровней (раздел 2) применяется только для привязки инварианта, не для построения онтологических лестниц.
7. Что опровергло бы эту структуру
- Обнаружение класса инцидентов или мер, систематически не помещающихся в матрицу 3×3 и требующих четвёртого уровня (кандидат на проверку — прагматический уровень Морриса: ценность и действие; пока рабочая позиция — он принадлежит слою целей защиты, а не уровней информации).
- Демонстрация того, что разнесение по уровням не меняет состава каналов и мер ни в одной реальной карте цели — тогда структура верна, но бесплодна, и ей не место в методике.
- Систематическая путаница пользователей методики при определении уровня инварианта — признак того, что инструмент сложнее задачи.
8. Источники для разборов в Библиотеке
Полный список с выходными данными — в разделе «Источники» в конце документа. Разборы этих работ стоят в очереди Библиотеки: на русском языке их систематических разборов не существует.
9. История пересмотров
| Версия | Дата | Изменения |
|---|---|---|
| 1.0 | 2026-06-10 | Первая публикация. Введена структура носитель–форма–смысл, уточнение «смысл = форма + интерпретатор», матрица 3×3, операционное правило уровня инварианта, две теоремы о невозможности (аналоговая дыра, DLP). Цикл пересмотра 24 месяца — фундаментный слой, основной драйвер изменений: опыт применения в картах целей. |
Источники
- Shannon C. A Mathematical Theory of Communication; предисловие W. Weaver. 1948–1949
- Morris C. Foundations of the Theory of Signs. 1938
- Parker D. Fighting Computer Crime: A New Framework for Protecting Information. Wiley, 1998
- Floridi L. Information: A Very Short Introduction. Oxford, 2010
- Sweeney L. k-Anonymity: A Model for Protecting Privacy. 2002
- Narayanan A., Shmatikov V. Robust De-anonymization of Large Sparse Datasets. IEEE S&P, 2008
- ГОСТ Р 50922-2006. Защита информации. Основные термины и определения