Pages - Menu

Страницы

12.4.11

А вы сами пробовали облачную безопасность?

Вспоминая семинар RISSPA про облачную безопасность провел среди коллег мини-опрос на тему, а пробовали ли вы сами услуги облачной безопасности. Оказалось, что таких почти нет ;-(  Поэтому предлагаю всем желающим потестировать сервис облачной безопасности Web-доступа - ScanSafe. Достаточно заполнить форму на сайте ScanSafe и получить полноценный доступ на 30 дней.

ЗЫ. ...и потом можно будет спорить о вкусе устриц ;-)

24 комментария:

  1. Вопрос из разряда:
    А Вы пробовали пить водку - я пробовал. Когда попробуете, тогда и будем спорить о вкусе водки...

    Ситуация гораздо глубже, чем Вы преподносите...

    ОтветитьУдалить
  2. Что-то я не вижу оживленного спора... :)

    ОтветитьУдалить
  3. А Вы Алексей, подстрекатель, однако :)))

    ОтветитьУдалить
  4. Как говорил один товарищ, "шевелитель масс" (при этом добавлял каких и ржал, коняга :)

    ОтветитьУдалить
  5. magicandy: я не вижу препятствий в том, чтобы ПОПРОБОВАТЬ. А уж потом обсуждать сложности и трудности ;-)

    ОтветитьУдалить
  6. Просто если нет доверия к облачным сервисам в целом. То смысл тестировать на сколько это удобно и производительно?
    Пусть даже по этим показателям он достигнет 100%, это ничего не поменяет.

    ОтветитьУдалить
  7. Я тоже не вижу препятствий протестировать. Соглашусь с Сергеем Б.: если в целом нет доверия, то стоит ли тестировать? Разве что для общего образования, и как говорил Алексей Волков, "врага" нужно знать в лицо :)

    ОтветитьУдалить
  8. ...только, вот, что-то водку не хочется пробовать... :)))

    ОтветитьУдалить
  9. Когда переходили от печатающих машинок на ЭВМ, тоже наверняка доверия к ЭВМ не было у масс.

    ОтветитьУдалить
  10. Достаточно забавно слышать про недоверие при условии, что мы отдаем свое здоровье в руки наших эскулапов, а обучение наших детей в руки выпускников педвузов ;-)

    ОтветитьУдалить
  11. ...у масс? :)
    У меня, например, доверие было.
    ЭВМ было новым явлением, не связанным непосредственно с доверием, а скорее с определенными надеждами в облегчении труда...

    Здесь же вопрос концептуальный, связанный с общественной и личной безопасностью.

    ОтветитьУдалить
  12. Ну, Алексей, Вы уж загнули. Не стоит всех под одну гребенку. Есть очень даже приличные выпускники педвузов, и медики есть хорошие.
    Есть люди нравственные и безнравственные, это к профессии не относится...
    Да и Ваша попытка принизить значение облачной безопасности в сравнении с медициной и здравоохранением мягко говоря некорректная...

    ОтветитьУдалить
  13. В области здравоохранения и образования есть законы и нормативные акты, организации лицензируются, к каждому врачу или педагогу предъявляются требования, предусмотрена персональная ответственность.
    И в конце концов я своими глазами вижу - кому доверяю свое здоровье.

    С облачными вычислениями пока никаких законов и никакой ответственности.

    Вот пример от Google:

    "8.2 Обязательства по соблюдению конфиденциальности. Получатель обязывается не раскрывать конфиденциальную информацию никому, за исключением аффилированных структур, служащих и агентов своих филиалов, которым она может потребоваться и которые дают свое согласие о сохранении конфиденциальности в письменном виде. Эти люди и организации могут использовать конфиденциальную информацию только для защиты прав и выполнения своих обязательств по настоящему Контракту, обеспечивая при этом соответствующую защиту этой информации. Получатель может также раскрыть конфиденциальную информацию, если это требуется по закону и предоставляются убедительные аргументы для раскрытия этой информации.
    10. Ограничение ответственности. ЗА ИСКЛЮЧЕНИЕМ ОБЯЗАТЕЛЬСТВ ПО КОНФИДЕНЦИАЛЬНОСТИ, ПРЕДУСМОТРЕННЫХ В РАЗДЕЛЕ 8, НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НИ ОДНА ИЗ СТОРОН НЕ НЕСЕТ ОБЯЗАТЕЛЬСТВ ПЕРЕД ДРУГОЙ ЗА ОСОБЫЙ, СЛУЧАЙНЫЙ, ШТРАФНОЙ ИЛИ КАРАТЕЛЬНЫЙ УЩЕРБ (ВКЛЮЧАЯ, ПОМИМО ПРОЧЕГО, УБЫТКИ, ВЫЗВАННЫЕ В СВЯЗИ С УТРАТОЙ, ПОТЕРЕЙ ДАННЫХ), ВОЗНИКАЮЩИЙ В СВЯЗИ КОНТРАКТОМ, ПРЕДОСТАВЛЕНИЕМ ИЛИ ИСПОЛНЕНИЕМ СЛУЖБ, НЕЗАВИСИМО ОТ ТОГО, ВОЗНИКАЕТ ЛИ ЭТА ОТВЕТСТВЕННОСТЬ В СВЯЗИ С ПРЕТЕНЗИЯМИ, ОСНОВАННЫМИ НА НАРУШЕНИЯХ ДОГОВОРНЫХ ОБЯЗАТЕЛЬСТВ И ДЕЛИКТ (ВКЛЮЧАЯ ОТВЕТСТВЕННОСТЬ ЗА НЕБРЕЖНОСТЬ), ОТВЕТСТВЕННОСТИ ЗА КАЧЕСТВО, НЕЗАВИСИМО ОТ НАЛИЧИЯ У ТАКОЙ СТОРОНЫ СВЕДЕНИЙ О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА."

    Да google обязуется не раскрывать. Но никаких обязательств не несет.

    Если информация куда-то утечет, то: а)Я об этом даже не узнаю
    б)Даже если узнаю, ни копейки с облачного оператора мне не получить.

    ОтветитьУдалить
  14. А сколько Вы получите от лицензиата, который спроектировал (и/или аттестовал) подсистему обеспечения ИБ для Вашей системы, когда произойдёт утечка информации? Или сколько Вы получите от компании, которая продала вам сертифицированное СрЗИ, после того, как злоумышленник его обошёл и увёл информацию? Вы доверяете на все 100 сертификатам ФСТЭК, ФСБ и др.?

    ОтветитьУдалить
  15. В том то и дело, что если у своей Системе защиты информации, я сам анализирую уязвимости, управляю рисками, определяю контрмеры, настраиваю СЗИ.
    Я могу быть уверен, что благодаря принятым контрмерам ущерб будет на приемлемом уровне.
    В крайнем случае при инциденте можно и лишить премии сотрудника ответственного за нарушение требований.
    Если я на какие то мероприятия привлекаю подрядчика, я могу оперативно управлять качеством их работы, да и в глаза специалисту можно посмотреть.
    В большинстве случаев подрядчику конфиденциальная информация не передается. В этом плюс. А если передается небольшая часть информации, то я знаю какая именно и по договорным отношениям подрядчик несет полную ответственность за конфиденциальность.

    ОтветитьУдалить
  16. Где-то прочитал одну фразу. "То, что для нашего поколения - трагедия, следующему покажется посмешищем". В начале 20 века официально считалось, что человек не может развить скорость более 20 КмЧ :) Не доросли мы еще до облак, да и они пока, увы, далеко не так хороши.

    ОтветитьУдалить
  17. У нас давно есть лакмусовая бумажка = ГУГОЛЬ

    ОтветитьУдалить
  18. magicandy: Когда я иду к врачу, я вообще не знаю, какова его квалификация и сколько на нем смертей ;-( Лично я могу еще выбирать - у меня страховка есть. А большинство людей приписаны к своей районной поликлинике и к конкретному врачу, которому под 60 ;-( И ответственности у него никакой. Она только в теории, а на практике пшик.

    Тоже самое с педагогами.

    ОтветитьУдалить
  19. статья на тему
    http://www.ibusiness.ru/12529

    ОтветитьУдалить
  20. по поводу сабжевого предложения про спор о вкусе устриц.
    предполагается что за 30 тестовых дней произойдет некий разрыв шаблона?
    за счет чего? ;)
    пусть даже за эти 30 дней сервис будет доступен 24x7, у инетпровайдера доступа к сервису не отвалится канал, поставщика сервиса не похакают и к нему не придет орган с выемкой, но это же не будет говорить о том, что Это Классное Облако всегда так работает ;)

    p.s.
    я не против "всего как сервисов", но когда отовсюду навязывается ОБЛАКО ОБЛАКО ОБЛАКО - это ужасно.

    ОтветитьУдалить
  21. Сергею Б.: И сейчас деятельность компаний по ИБ подчиняется вполне определенным нормам. И ответственность есть. И наказать можно. Если докажете...

    И у врачей и педагогов также. Врач несет ответственность за разглашение... если вы докажете это. И за ваше здоровье несет... если вы докажете, что именно его вмешательство нанесло вам вред.

    Но облачный провайдер еще и репутацией дорожит. Т.к. от качества его услуг зависит, будут к нему обращаться или нет. А врач и педагог не дорожит - у многих просто выбора нет, куда идти со своими детьми или здоровьем.

    ОтветитьУдалить
  22. Алексей: Есть небольшая проблема с доказательствами. С оборудования облачного провайдера я не могу собирать события ИБ, не могу отслеживать в реальном времени кто получал доступ к моей почте, пока она проходила фильтрацию на внешнем сервисе.

    Возможно через правоохранительные органы удастся что-то сделать? Но и тут проблема - где находится этот облачный оператор? В какую страну надо слать запросы? Но скорее всего с доказательствами ничего не выйдет.

    ОтветитьУдалить
  23. pushkinist'у: Я не предлагаю верить ;-) Я предлагаю проверить ;-)

    Понять как работает облачная безопасность за 30 дней можно. И именно это я и призываю сделать тем, кто еще ее не пробовал руками. А дальше уже стоит обсуждать реалии - каналы, их качество, резервные каналы, SLA и т.д. Про все это я сам не раз говорил и тут в блоге есть презентации с описанием проблем аутсорсинга ИБ. В масштабах России многие из них пока не разрешимы, но в масштабах крупных городов с нормальными каналами - почему бы и нет...

    ОтветитьУдалить
  24. Сергею Б.: А что значит, что вы не можете события ИБ собирать? Какие именно? Тот же ScanSafe вам потом отчет выдаст - какие атаки/вредоносы/сайты были заблокированы. В реалтайме это вам зачем? Вы же для этого и отдаете в облако эту задачу.

    Что касается "чужого" доступа к почте, то вас не почему-то этот вопрос не волнует в отношении обычного провайдера. А с ним вообще в договоре про это ни слова нет, в то время как с облачным провайдером это можно вписать в договор и проконтролировать реализацию прописанных мер.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.