Вчера посетил в АИС Круглый стол "Методы защиты конфиденциальной информации от действий инсайдеров, рейдерства и мошенничества". Впечатления - сугубо положительные, обсуждались интересные вопросы, проводились демонстрации на реальных данных, были полезные идеи и рекомендации по защите.
Одни из основных идей:
1. Разделение представительского/рекламного Web-сайта от рабочих систем. В этом отношении очень показателен пример одной очень крупной российской ИТ компании, на сайте которой в открытом доступе лежат скрипты обновления базы Заказчика с логинами и паролями.
2. Ограничение доступа к корпоративным Web-сайтам. Опять же "живые" примеры - возможность получения конфиденциальных документов крупных зарубежных компаний.
3. Контроль материалов (документов), переданных партнерам. У вас может быть отлично защищенная система, вот только ваш партнер (неизвестно зачем) хранит вашу строго конфиденциальную стратегию развития на своем сайте. Или, например, аудиторы выложат на сайте отчет о проверке вашего объекта.
4. Контроль разработки/доработки систем. Как вы отнесетесь к наличию на вашем сайте каталогов разработчика, для которых не настроено разграничение доступа.
В целом выводы неутешительные. Слишком уж удобно хранить информацию на сайте с возможностью оперативного удаленного доступа. Вот только не всегда эта информация действительно защищена, отсутствие явной ссылки на документ не гарантирует, что этот документ доступен только вам - поисковые системы (Google, Yandex, ...) найдут и предоставят доступ и к таким документам.
PS. Расстроило только одно - анкета участника мероприятия с предложением о бессрочном согласии на обработку ПДн.
