 Однажды в ходе аудита я заметил выделенный канал связи, соединяющий сеть исследуемой компании с сетью другой организации, с которой осуществлялся информационный обмен. Это соединение привлекло мое внимание тем, что не было защищено межсетевым экраном. На мой вопрос, почему сеть сторонней организации не отгорожена файрволлом, ИТ-специалист ответил: «А зачем? Это выделенный канал, мы покупаем у них услугу, у нас с ними подписано Соглашение о конфиденциальности».
Подобная ошибка встречается довольно часто – подмена механизмов защиты одной природы механизмами другой природы. В данном случае – техническое средство подменено правовым. Стоит помнить о том, что каждое из них преследует свою цель, они снижают разные по своей природе риски. Соглашение о конфиденциальности не защитит от проникновения из неконтролируемой сети, а межсетевой экран не позволит предъявить претензии в судебном порядке в случае утечки информации.
Между такими механизмами нельзя ставить «или». Их выбор должен быть обоснован наличием соответствующих рисков. Они могут органично дополнять, но ни в коем случае не подменять друг друга.
| 
