Добавлено: Понедельник 09.02.2009 10:45
От одного из наших клиентов поступило ТТ. В сокращенном варианте оно выглядит так: водители в Информационном киоске ввели табельный номер заместителя директора, открыли его расчетный лист, посмотрели зарплату и разнесли по всему парку. Разгорелся большой скандал. Как запретить просматривать чужую зарплату?
Стали разбираться. Вообще, при разработке Информационного киоска мы задумались о конфиденциальности некоторой информации и позаботились о скрытии ее от посторонних глаз. Доступ к такой информации требует авторизации по бесконтактной карте или ввода секретного ПИН-кода непосредственно при начале работы в Киоске либо при запросе конфиденциальной информации (к которой мы само собой отнесли расчетный лист сотрудника), а так же автоматическое завершение работы в Киоске при отсутствии активности в течение определенного времени.
В результате проверки выяснилось следующее:
1. Причина, по которой нам было прислано ТТ - заместитель директора, входящий в группу LEADERS (напомню, что такие пользователи имеют доступ ко всей информации в АвтоПарке, поэтому им не требуется вводить ПИН-код при просмотре РЛ любого работника в Киоске), запустил на своем компьютере локальный Информационный киоск, легально получил доступ к своему РЛ и понял, что нашел виновника распространения информации! После чего к нам и поступило ТТ.
2. В процессе изучения протоколов работы Киоска мы обнаружили следующее: с момента ввода киоска в эксплуатацию (с 28.09.2004) пользователи Информационного киоска пытались 1937 раз (!!) просмотреть свои РЛ - т.е. каждый день по несколько попыток. Так как доступ к этой информации ограничен, 1937 раз на экран выводилось сообщение:
По состоянию на 06.02.2009 не оформлено ни одного (повторяю - НИ ОДНОГО) ПИН-кода сотрудника, т.е. Киоск c 2004 года работает с существенным ограничением функциональности.
В связи с этим очень хочется понять, как такое вообще может быть - неужели ни одно из 1937 сообщений о необходимости оформить ПИН-код не было доведено до сведения ответственных работников предприятия? Или сообщение о требовании оформить ПИН-код недостаточно информативно, тогда мы с удовольствием выслушаем Ваши предложения, позволяющие улучшить восприятие этого сообщения.
P.S. Оформление одного ПИН-кода сотрудника занимает 2 минуты.
P.S.S. Был послан ответ на ТТ: в Информационном Киоске доступ к РЛ без ПИН-кода запрещен, поэтому источник утечки конфиденциальной информации - не Киоск, так как не введено ни одного ПИН-кода. От клиента поступила благодарность за разъяснения. К администратору АП обращений по вопросам оформления ПИН-кода не было.
Стали разбираться. Вообще, при разработке Информационного киоска мы задумались о конфиденциальности некоторой информации и позаботились о скрытии ее от посторонних глаз. Доступ к такой информации требует авторизации по бесконтактной карте или ввода секретного ПИН-кода непосредственно при начале работы в Киоске либо при запросе конфиденциальной информации (к которой мы само собой отнесли расчетный лист сотрудника), а так же автоматическое завершение работы в Киоске при отсутствии активности в течение определенного времени.
В результате проверки выяснилось следующее:
1. Причина, по которой нам было прислано ТТ - заместитель директора, входящий в группу LEADERS (напомню, что такие пользователи имеют доступ ко всей информации в АвтоПарке, поэтому им не требуется вводить ПИН-код при просмотре РЛ любого работника в Киоске), запустил на своем компьютере локальный Информационный киоск, легально получил доступ к своему РЛ и понял, что нашел виновника распространения информации! После чего к нам и поступило ТТ.
2. В процессе изучения протоколов работы Киоска мы обнаружили следующее: с момента ввода киоска в эксплуатацию (с 28.09.2004) пользователи Информационного киоска пытались 1937 раз (!!) просмотреть свои РЛ - т.е. каждый день по несколько попыток. Так как доступ к этой информации ограничен, 1937 раз на экран выводилось сообщение:
По состоянию на 06.02.2009 не оформлено ни одного (повторяю - НИ ОДНОГО) ПИН-кода сотрудника, т.е. Киоск c 2004 года работает с существенным ограничением функциональности.
В связи с этим очень хочется понять, как такое вообще может быть - неужели ни одно из 1937 сообщений о необходимости оформить ПИН-код не было доведено до сведения ответственных работников предприятия? Или сообщение о требовании оформить ПИН-код недостаточно информативно, тогда мы с удовольствием выслушаем Ваши предложения, позволяющие улучшить восприятие этого сообщения.
P.S. Оформление одного ПИН-кода сотрудника занимает 2 минуты.
P.S.S. Был послан ответ на ТТ: в Информационном Киоске доступ к РЛ без ПИН-кода запрещен, поэтому источник утечки конфиденциальной информации - не Киоск, так как не введено ни одного ПИН-кода. От клиента поступила благодарность за разъяснения. К администратору АП обращений по вопросам оформления ПИН-кода не было.