А вы сами пробовали облачную безопасность?

Вспоминая семинар RISSPA про облачную безопасность провел среди коллег мини-опрос на тему, а пробовали ли вы сами услуги облачной безопасности. Оказалось, что таких почти нет ;-(  Поэтому предлагаю всем желающим потестировать сервис облачной безопасности Web-доступа — ScanSafe. Достаточно заполнить форму на сайте ScanSafe и получить полноценный доступ на 30 дней.

ЗЫ. …и потом можно будет спорить о вкусе устриц 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. magicandy

    Вопрос из разряда:
    А Вы пробовали пить водку — я пробовал. Когда попробуете, тогда и будем спорить о вкусе водки…

    Ситуация гораздо глубже, чем Вы преподносите…

    Ответить
  2. Unknown

    Что-то я не вижу оживленного спора… 🙂

    Ответить
  3. magicandy

    А Вы Алексей, подстрекатель, однако :)))

    Ответить
  4. Unknown

    Как говорил один товарищ, "шевелитель масс" (при этом добавлял каких и ржал, коняга 🙂

    Ответить
  5. Алексей Лукацкий

    magicandy: я не вижу препятствий в том, чтобы ПОПРОБОВАТЬ. А уж потом обсуждать сложности и трудности 😉

    Ответить
  6. Сергей Борисов

    Просто если нет доверия к облачным сервисам в целом. То смысл тестировать на сколько это удобно и производительно?
    Пусть даже по этим показателям он достигнет 100%, это ничего не поменяет.

    Ответить
  7. magicandy

    Я тоже не вижу препятствий протестировать. Соглашусь с Сергеем Б.: если в целом нет доверия, то стоит ли тестировать? Разве что для общего образования, и как говорил Алексей Волков, "врага" нужно знать в лицо 🙂

    Ответить
  8. magicandy

    …только, вот, что-то водку не хочется пробовать… :)))

    Ответить
  9. Алексей Краснов

    Когда переходили от печатающих машинок на ЭВМ, тоже наверняка доверия к ЭВМ не было у масс.

    Ответить
  10. Алексей Лукацкий

    Достаточно забавно слышать про недоверие при условии, что мы отдаем свое здоровье в руки наших эскулапов, а обучение наших детей в руки выпускников педвузов 😉

    Ответить
  11. magicandy

    …у масс? 🙂
    У меня, например, доверие было.
    ЭВМ было новым явлением, не связанным непосредственно с доверием, а скорее с определенными надеждами в облегчении труда…

    Здесь же вопрос концептуальный, связанный с общественной и личной безопасностью.

    Ответить
  12. magicandy

    Ну, Алексей, Вы уж загнули. Не стоит всех под одну гребенку. Есть очень даже приличные выпускники педвузов, и медики есть хорошие.
    Есть люди нравственные и безнравственные, это к профессии не относится…
    Да и Ваша попытка принизить значение облачной безопасности в сравнении с медициной и здравоохранением мягко говоря некорректная…

    Ответить
  13. Сергей Борисов

    В области здравоохранения и образования есть законы и нормативные акты, организации лицензируются, к каждому врачу или педагогу предъявляются требования, предусмотрена персональная ответственность.
    И в конце концов я своими глазами вижу — кому доверяю свое здоровье.

    С облачными вычислениями пока никаких законов и никакой ответственности.

    Вот пример от Google:

    "8.2 Обязательства по соблюдению конфиденциальности. Получатель обязывается не раскрывать конфиденциальную информацию никому, за исключением аффилированных структур, служащих и агентов своих филиалов, которым она может потребоваться и которые дают свое согласие о сохранении конфиденциальности в письменном виде. Эти люди и организации могут использовать конфиденциальную информацию только для защиты прав и выполнения своих обязательств по настоящему Контракту, обеспечивая при этом соответствующую защиту этой информации. Получатель может также раскрыть конфиденциальную информацию, если это требуется по закону и предоставляются убедительные аргументы для раскрытия этой информации.
    10. Ограничение ответственности. ЗА ИСКЛЮЧЕНИЕМ ОБЯЗАТЕЛЬСТВ ПО КОНФИДЕНЦИАЛЬНОСТИ, ПРЕДУСМОТРЕННЫХ В РАЗДЕЛЕ 8, НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НИ ОДНА ИЗ СТОРОН НЕ НЕСЕТ ОБЯЗАТЕЛЬСТВ ПЕРЕД ДРУГОЙ ЗА ОСОБЫЙ, СЛУЧАЙНЫЙ, ШТРАФНОЙ ИЛИ КАРАТЕЛЬНЫЙ УЩЕРБ (ВКЛЮЧАЯ, ПОМИМО ПРОЧЕГО, УБЫТКИ, ВЫЗВАННЫЕ В СВЯЗИ С УТРАТОЙ, ПОТЕРЕЙ ДАННЫХ), ВОЗНИКАЮЩИЙ В СВЯЗИ КОНТРАКТОМ, ПРЕДОСТАВЛЕНИЕМ ИЛИ ИСПОЛНЕНИЕМ СЛУЖБ, НЕЗАВИСИМО ОТ ТОГО, ВОЗНИКАЕТ ЛИ ЭТА ОТВЕТСТВЕННОСТЬ В СВЯЗИ С ПРЕТЕНЗИЯМИ, ОСНОВАННЫМИ НА НАРУШЕНИЯХ ДОГОВОРНЫХ ОБЯЗАТЕЛЬСТВ И ДЕЛИКТ (ВКЛЮЧАЯ ОТВЕТСТВЕННОСТЬ ЗА НЕБРЕЖНОСТЬ), ОТВЕТСТВЕННОСТИ ЗА КАЧЕСТВО, НЕЗАВИСИМО ОТ НАЛИЧИЯ У ТАКОЙ СТОРОНЫ СВЕДЕНИЙ О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА."

    Да google обязуется не раскрывать. Но никаких обязательств не несет.

    Если информация куда-то утечет, то: а)Я об этом даже не узнаю
    б)Даже если узнаю, ни копейки с облачного оператора мне не получить.

    Ответить
  14. Алексей Краснов

    А сколько Вы получите от лицензиата, который спроектировал (и/или аттестовал) подсистему обеспечения ИБ для Вашей системы, когда произойдёт утечка информации? Или сколько Вы получите от компании, которая продала вам сертифицированное СрЗИ, после того, как злоумышленник его обошёл и увёл информацию? Вы доверяете на все 100 сертификатам ФСТЭК, ФСБ и др.?

    Ответить
  15. Сергей Борисов

    В том то и дело, что если у своей Системе защиты информации, я сам анализирую уязвимости, управляю рисками, определяю контрмеры, настраиваю СЗИ.
    Я могу быть уверен, что благодаря принятым контрмерам ущерб будет на приемлемом уровне.
    В крайнем случае при инциденте можно и лишить премии сотрудника ответственного за нарушение требований.
    Если я на какие то мероприятия привлекаю подрядчика, я могу оперативно управлять качеством их работы, да и в глаза специалисту можно посмотреть.
    В большинстве случаев подрядчику конфиденциальная информация не передается. В этом плюс. А если передается небольшая часть информации, то я знаю какая именно и по договорным отношениям подрядчик несет полную ответственность за конфиденциальность.

    Ответить
  16. Unknown

    Где-то прочитал одну фразу. "То, что для нашего поколения — трагедия, следующему покажется посмешищем". В начале 20 века официально считалось, что человек не может развить скорость более 20 КмЧ 🙂 Не доросли мы еще до облак, да и они пока, увы, далеко не так хороши.

    Ответить
  17. Анонимный

    У нас давно есть лакмусовая бумажка = ГУГОЛЬ

    Ответить
  18. Алексей Лукацкий

    magicandy: Когда я иду к врачу, я вообще не знаю, какова его квалификация и сколько на нем смертей ;-( Лично я могу еще выбирать — у меня страховка есть. А большинство людей приписаны к своей районной поликлинике и к конкретному врачу, которому под 60 ;-( И ответственности у него никакой. Она только в теории, а на практике пшик.

    Тоже самое с педагогами.

    Ответить
  19. pushkinist

    статья на тему
    http://www.ibusiness.ru/12529

    Ответить
  20. pushkinist

    по поводу сабжевого предложения про спор о вкусе устриц.
    предполагается что за 30 тестовых дней произойдет некий разрыв шаблона?
    за счет чего? 😉
    пусть даже за эти 30 дней сервис будет доступен 24×7, у инетпровайдера доступа к сервису не отвалится канал, поставщика сервиса не похакают и к нему не придет орган с выемкой, но это же не будет говорить о том, что Это Классное Облако всегда так работает 😉

    p.s.
    я не против "всего как сервисов", но когда отовсюду навязывается ОБЛАКО ОБЛАКО ОБЛАКО — это ужасно.

    Ответить
  21. Алексей Лукацкий

    Сергею Б.: И сейчас деятельность компаний по ИБ подчиняется вполне определенным нормам. И ответственность есть. И наказать можно. Если докажете…

    И у врачей и педагогов также. Врач несет ответственность за разглашение… если вы докажете это. И за ваше здоровье несет… если вы докажете, что именно его вмешательство нанесло вам вред.

    Но облачный провайдер еще и репутацией дорожит. Т.к. от качества его услуг зависит, будут к нему обращаться или нет. А врач и педагог не дорожит — у многих просто выбора нет, куда идти со своими детьми или здоровьем.

    Ответить
  22. Сергей Борисов

    Алексей: Есть небольшая проблема с доказательствами. С оборудования облачного провайдера я не могу собирать события ИБ, не могу отслеживать в реальном времени кто получал доступ к моей почте, пока она проходила фильтрацию на внешнем сервисе.

    Возможно через правоохранительные органы удастся что-то сделать? Но и тут проблема — где находится этот облачный оператор? В какую страну надо слать запросы? Но скорее всего с доказательствами ничего не выйдет.

    Ответить
  23. Алексей Лукацкий

    pushkinist'у: Я не предлагаю верить 😉 Я предлагаю проверить 😉

    Понять как работает облачная безопасность за 30 дней можно. И именно это я и призываю сделать тем, кто еще ее не пробовал руками. А дальше уже стоит обсуждать реалии — каналы, их качество, резервные каналы, SLA и т.д. Про все это я сам не раз говорил и тут в блоге есть презентации с описанием проблем аутсорсинга ИБ. В масштабах России многие из них пока не разрешимы, но в масштабах крупных городов с нормальными каналами — почему бы и нет…

    Ответить
  24. Алексей Лукацкий

    Сергею Б.: А что значит, что вы не можете события ИБ собирать? Какие именно? Тот же ScanSafe вам потом отчет выдаст — какие атаки/вредоносы/сайты были заблокированы. В реалтайме это вам зачем? Вы же для этого и отдаете в облако эту задачу.

    Что касается "чужого" доступа к почте, то вас не почему-то этот вопрос не волнует в отношении обычного провайдера. А с ним вообще в договоре про это ни слова нет, в то время как с облачным провайдером это можно вписать в договор и проконтролировать реализацию прописанных мер.

    Ответить