Цитата |
---|
Ригель пишет: Если бы Вы сообщили, что имеете в виду под таковыми технологиями, диалог был бы продуктивнее. |
Как вариант примера такой технологии - это централизованная система хранения корпоративных документов, которая дополнительно осуществляет и контроль доступа к этим самым документам.
И отсюда следует моё ЧАСТИЧНОЕ несогласие с:
Цитата |
---|
Вы опять ищете проникновение, только теперь внутреннее. Первая загвоздка с инсайдерами в том, что это как раз легальные, правильные пользователи. Инсайдер - лицо, ИМЕЮЩЕЕ доступ к защищаемой информации в силу своих должностных обязанностей. Он инсайдером зовется не оттого, что находится внутри периметра, а внутри процесса. |
На мой взгляд, Ва даёте определение только одного из видов инсайдеров (Если хотите - самого коварного их вида). Действительно, эффективность законной борьбы с такими инсайдерами является очень сомнительной. Но общее понятие термина 'инсайдер' IMHО шире.
Под руку попался Information Security Manager Handbook vol.1
В нём приводится, на мой взгляд, более удачное определение.
Вот его вольный перевод:
Инсайдеры. Их официальное присутсвие в организации даёт им потенциально неограниченный доступ к любой информации, в том числе и к ресурсам, доступ к которым по сути должен быть для них закрыт.
Если следовать вышеприведённому определению, то инсайдер - это уже не только лицо, непосредственно учавствующее в данном конкретном процессе/проекте и напрямую работающее над каким-либо секретным документом или с какой-либо важной информацией. Это ещё и лицо, которое, в силу своего служебного положения способно получать доступ к такой информации.
В примере с уборщицей всё ясно. Её иерархическое положение не даёт ей доступ к информации. И попытка получения такого доступа с её стороны будет выглядеть как явное внутреннее проникновение. Но как быть например с менеджером из соседнего отдела или сетевым администратором, если отсуствует чёткая упорядоченная и контролируемая система документооборота? Они официально работают с сетью и оба 'вхожи' в информационную систему компании. Как для них провести и контролировать грань между 'можно' и 'нельзя'? В конце концов, как приучить работников бережно относиться к информации, с которой они непосредственно работают? Внутренние правила несомненно вещь важная и необходимая. Но если их исполнение невозможно контролировать, то и эффективность их начнёт стремительно таять.