12.4.11

А вы сами пробовали облачную безопасность?

Вспоминая семинар RISSPA про облачную безопасность провел среди коллег мини-опрос на тему, а пробовали ли вы сами услуги облачной безопасности. Оказалось, что таких почти нет ;-(  Поэтому предлагаю всем желающим потестировать сервис облачной безопасности Web-доступа - ScanSafe. Достаточно заполнить форму на сайте ScanSafe и получить полноценный доступ на 30 дней.

ЗЫ. ...и потом можно будет спорить о вкусе устриц ;-)

24 коммент.:

magicandy комментирует...

Вопрос из разряда:
А Вы пробовали пить водку - я пробовал. Когда попробуете, тогда и будем спорить о вкусе водки...

Ситуация гораздо глубже, чем Вы преподносите...

Alexey Volkov комментирует...

Что-то я не вижу оживленного спора... :)

magicandy комментирует...

А Вы Алексей, подстрекатель, однако :)))

Alexey Volkov комментирует...

Как говорил один товарищ, "шевелитель масс" (при этом добавлял каких и ржал, коняга :)

Алексей Лукацкий комментирует...

magicandy: я не вижу препятствий в том, чтобы ПОПРОБОВАТЬ. А уж потом обсуждать сложности и трудности ;-)

Сергей Борисов комментирует...

Просто если нет доверия к облачным сервисам в целом. То смысл тестировать на сколько это удобно и производительно?
Пусть даже по этим показателям он достигнет 100%, это ничего не поменяет.

magicandy комментирует...

Я тоже не вижу препятствий протестировать. Соглашусь с Сергеем Б.: если в целом нет доверия, то стоит ли тестировать? Разве что для общего образования, и как говорил Алексей Волков, "врага" нужно знать в лицо :)

magicandy комментирует...

...только, вот, что-то водку не хочется пробовать... :)))

Алексей Краснов комментирует...

Когда переходили от печатающих машинок на ЭВМ, тоже наверняка доверия к ЭВМ не было у масс.

Алексей Лукацкий комментирует...

Достаточно забавно слышать про недоверие при условии, что мы отдаем свое здоровье в руки наших эскулапов, а обучение наших детей в руки выпускников педвузов ;-)

magicandy комментирует...

...у масс? :)
У меня, например, доверие было.
ЭВМ было новым явлением, не связанным непосредственно с доверием, а скорее с определенными надеждами в облегчении труда...

Здесь же вопрос концептуальный, связанный с общественной и личной безопасностью.

magicandy комментирует...

Ну, Алексей, Вы уж загнули. Не стоит всех под одну гребенку. Есть очень даже приличные выпускники педвузов, и медики есть хорошие.
Есть люди нравственные и безнравственные, это к профессии не относится...
Да и Ваша попытка принизить значение облачной безопасности в сравнении с медициной и здравоохранением мягко говоря некорректная...

Сергей Борисов комментирует...

В области здравоохранения и образования есть законы и нормативные акты, организации лицензируются, к каждому врачу или педагогу предъявляются требования, предусмотрена персональная ответственность.
И в конце концов я своими глазами вижу - кому доверяю свое здоровье.

С облачными вычислениями пока никаких законов и никакой ответственности.

Вот пример от Google:

"8.2 Обязательства по соблюдению конфиденциальности. Получатель обязывается не раскрывать конфиденциальную информацию никому, за исключением аффилированных структур, служащих и агентов своих филиалов, которым она может потребоваться и которые дают свое согласие о сохранении конфиденциальности в письменном виде. Эти люди и организации могут использовать конфиденциальную информацию только для защиты прав и выполнения своих обязательств по настоящему Контракту, обеспечивая при этом соответствующую защиту этой информации. Получатель может также раскрыть конфиденциальную информацию, если это требуется по закону и предоставляются убедительные аргументы для раскрытия этой информации.
10. Ограничение ответственности. ЗА ИСКЛЮЧЕНИЕМ ОБЯЗАТЕЛЬСТВ ПО КОНФИДЕНЦИАЛЬНОСТИ, ПРЕДУСМОТРЕННЫХ В РАЗДЕЛЕ 8, НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НИ ОДНА ИЗ СТОРОН НЕ НЕСЕТ ОБЯЗАТЕЛЬСТВ ПЕРЕД ДРУГОЙ ЗА ОСОБЫЙ, СЛУЧАЙНЫЙ, ШТРАФНОЙ ИЛИ КАРАТЕЛЬНЫЙ УЩЕРБ (ВКЛЮЧАЯ, ПОМИМО ПРОЧЕГО, УБЫТКИ, ВЫЗВАННЫЕ В СВЯЗИ С УТРАТОЙ, ПОТЕРЕЙ ДАННЫХ), ВОЗНИКАЮЩИЙ В СВЯЗИ КОНТРАКТОМ, ПРЕДОСТАВЛЕНИЕМ ИЛИ ИСПОЛНЕНИЕМ СЛУЖБ, НЕЗАВИСИМО ОТ ТОГО, ВОЗНИКАЕТ ЛИ ЭТА ОТВЕТСТВЕННОСТЬ В СВЯЗИ С ПРЕТЕНЗИЯМИ, ОСНОВАННЫМИ НА НАРУШЕНИЯХ ДОГОВОРНЫХ ОБЯЗАТЕЛЬСТВ И ДЕЛИКТ (ВКЛЮЧАЯ ОТВЕТСТВЕННОСТЬ ЗА НЕБРЕЖНОСТЬ), ОТВЕТСТВЕННОСТИ ЗА КАЧЕСТВО, НЕЗАВИСИМО ОТ НАЛИЧИЯ У ТАКОЙ СТОРОНЫ СВЕДЕНИЙ О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА."

Да google обязуется не раскрывать. Но никаких обязательств не несет.

Если информация куда-то утечет, то: а)Я об этом даже не узнаю
б)Даже если узнаю, ни копейки с облачного оператора мне не получить.

Алексей Краснов комментирует...

А сколько Вы получите от лицензиата, который спроектировал (и/или аттестовал) подсистему обеспечения ИБ для Вашей системы, когда произойдёт утечка информации? Или сколько Вы получите от компании, которая продала вам сертифицированное СрЗИ, после того, как злоумышленник его обошёл и увёл информацию? Вы доверяете на все 100 сертификатам ФСТЭК, ФСБ и др.?

Сергей Борисов комментирует...

В том то и дело, что если у своей Системе защиты информации, я сам анализирую уязвимости, управляю рисками, определяю контрмеры, настраиваю СЗИ.
Я могу быть уверен, что благодаря принятым контрмерам ущерб будет на приемлемом уровне.
В крайнем случае при инциденте можно и лишить премии сотрудника ответственного за нарушение требований.
Если я на какие то мероприятия привлекаю подрядчика, я могу оперативно управлять качеством их работы, да и в глаза специалисту можно посмотреть.
В большинстве случаев подрядчику конфиденциальная информация не передается. В этом плюс. А если передается небольшая часть информации, то я знаю какая именно и по договорным отношениям подрядчик несет полную ответственность за конфиденциальность.

Alexey Volkov комментирует...

Где-то прочитал одну фразу. "То, что для нашего поколения - трагедия, следующему покажется посмешищем". В начале 20 века официально считалось, что человек не может развить скорость более 20 КмЧ :) Не доросли мы еще до облак, да и они пока, увы, далеко не так хороши.

Анонимный комментирует...

У нас давно есть лакмусовая бумажка = ГУГОЛЬ

Алексей Лукацкий комментирует...

magicandy: Когда я иду к врачу, я вообще не знаю, какова его квалификация и сколько на нем смертей ;-( Лично я могу еще выбирать - у меня страховка есть. А большинство людей приписаны к своей районной поликлинике и к конкретному врачу, которому под 60 ;-( И ответственности у него никакой. Она только в теории, а на практике пшик.

Тоже самое с педагогами.

pushkinist комментирует...

статья на тему
http://www.ibusiness.ru/12529

pushkinist комментирует...

по поводу сабжевого предложения про спор о вкусе устриц.
предполагается что за 30 тестовых дней произойдет некий разрыв шаблона?
за счет чего? ;)
пусть даже за эти 30 дней сервис будет доступен 24x7, у инетпровайдера доступа к сервису не отвалится канал, поставщика сервиса не похакают и к нему не придет орган с выемкой, но это же не будет говорить о том, что Это Классное Облако всегда так работает ;)

p.s.
я не против "всего как сервисов", но когда отовсюду навязывается ОБЛАКО ОБЛАКО ОБЛАКО - это ужасно.

Алексей Лукацкий комментирует...

Сергею Б.: И сейчас деятельность компаний по ИБ подчиняется вполне определенным нормам. И ответственность есть. И наказать можно. Если докажете...

И у врачей и педагогов также. Врач несет ответственность за разглашение... если вы докажете это. И за ваше здоровье несет... если вы докажете, что именно его вмешательство нанесло вам вред.

Но облачный провайдер еще и репутацией дорожит. Т.к. от качества его услуг зависит, будут к нему обращаться или нет. А врач и педагог не дорожит - у многих просто выбора нет, куда идти со своими детьми или здоровьем.

Сергей Борисов комментирует...

Алексей: Есть небольшая проблема с доказательствами. С оборудования облачного провайдера я не могу собирать события ИБ, не могу отслеживать в реальном времени кто получал доступ к моей почте, пока она проходила фильтрацию на внешнем сервисе.

Возможно через правоохранительные органы удастся что-то сделать? Но и тут проблема - где находится этот облачный оператор? В какую страну надо слать запросы? Но скорее всего с доказательствами ничего не выйдет.

Алексей Лукацкий комментирует...

pushkinist'у: Я не предлагаю верить ;-) Я предлагаю проверить ;-)

Понять как работает облачная безопасность за 30 дней можно. И именно это я и призываю сделать тем, кто еще ее не пробовал руками. А дальше уже стоит обсуждать реалии - каналы, их качество, резервные каналы, SLA и т.д. Про все это я сам не раз говорил и тут в блоге есть презентации с описанием проблем аутсорсинга ИБ. В масштабах России многие из них пока не разрешимы, но в масштабах крупных городов с нормальными каналами - почему бы и нет...

Алексей Лукацкий комментирует...

Сергею Б.: А что значит, что вы не можете события ИБ собирать? Какие именно? Тот же ScanSafe вам потом отчет выдаст - какие атаки/вредоносы/сайты были заблокированы. В реалтайме это вам зачем? Вы же для этого и отдаете в облако эту задачу.

Что касается "чужого" доступа к почте, то вас не почему-то этот вопрос не волнует в отношении обычного провайдера. А с ним вообще в договоре про это ни слова нет, в то время как с облачным провайдером это можно вписать в договор и проконтролировать реализацию прописанных мер.