Вспоминая семинар RISSPA про облачную безопасность провел среди коллег мини-опрос на тему, а пробовали ли вы сами услуги облачной безопасности. Оказалось, что таких почти нет ;-( Поэтому предлагаю всем желающим потестировать сервис облачной безопасности Web-доступа — ScanSafe. Достаточно заполнить форму на сайте ScanSafe и получить полноценный доступ на 30 дней.
ЗЫ. …и потом можно будет спорить о вкусе устриц 😉
Вопрос из разряда:
А Вы пробовали пить водку — я пробовал. Когда попробуете, тогда и будем спорить о вкусе водки…
Ситуация гораздо глубже, чем Вы преподносите…
Что-то я не вижу оживленного спора… 🙂
А Вы Алексей, подстрекатель, однако :)))
Как говорил один товарищ, "шевелитель масс" (при этом добавлял каких и ржал, коняга 🙂
magicandy: я не вижу препятствий в том, чтобы ПОПРОБОВАТЬ. А уж потом обсуждать сложности и трудности 😉
Просто если нет доверия к облачным сервисам в целом. То смысл тестировать на сколько это удобно и производительно?
Пусть даже по этим показателям он достигнет 100%, это ничего не поменяет.
Я тоже не вижу препятствий протестировать. Соглашусь с Сергеем Б.: если в целом нет доверия, то стоит ли тестировать? Разве что для общего образования, и как говорил Алексей Волков, "врага" нужно знать в лицо 🙂
…только, вот, что-то водку не хочется пробовать… :)))
Когда переходили от печатающих машинок на ЭВМ, тоже наверняка доверия к ЭВМ не было у масс.
Достаточно забавно слышать про недоверие при условии, что мы отдаем свое здоровье в руки наших эскулапов, а обучение наших детей в руки выпускников педвузов 😉
…у масс? 🙂
У меня, например, доверие было.
ЭВМ было новым явлением, не связанным непосредственно с доверием, а скорее с определенными надеждами в облегчении труда…
Здесь же вопрос концептуальный, связанный с общественной и личной безопасностью.
Ну, Алексей, Вы уж загнули. Не стоит всех под одну гребенку. Есть очень даже приличные выпускники педвузов, и медики есть хорошие.
Есть люди нравственные и безнравственные, это к профессии не относится…
Да и Ваша попытка принизить значение облачной безопасности в сравнении с медициной и здравоохранением мягко говоря некорректная…
В области здравоохранения и образования есть законы и нормативные акты, организации лицензируются, к каждому врачу или педагогу предъявляются требования, предусмотрена персональная ответственность.
И в конце концов я своими глазами вижу — кому доверяю свое здоровье.
С облачными вычислениями пока никаких законов и никакой ответственности.
Вот пример от Google:
"8.2 Обязательства по соблюдению конфиденциальности. Получатель обязывается не раскрывать конфиденциальную информацию никому, за исключением аффилированных структур, служащих и агентов своих филиалов, которым она может потребоваться и которые дают свое согласие о сохранении конфиденциальности в письменном виде. Эти люди и организации могут использовать конфиденциальную информацию только для защиты прав и выполнения своих обязательств по настоящему Контракту, обеспечивая при этом соответствующую защиту этой информации. Получатель может также раскрыть конфиденциальную информацию, если это требуется по закону и предоставляются убедительные аргументы для раскрытия этой информации.
10. Ограничение ответственности. ЗА ИСКЛЮЧЕНИЕМ ОБЯЗАТЕЛЬСТВ ПО КОНФИДЕНЦИАЛЬНОСТИ, ПРЕДУСМОТРЕННЫХ В РАЗДЕЛЕ 8, НИ ПРИ КАКИХ ОБСТОЯТЕЛЬСТВАХ НИ ОДНА ИЗ СТОРОН НЕ НЕСЕТ ОБЯЗАТЕЛЬСТВ ПЕРЕД ДРУГОЙ ЗА ОСОБЫЙ, СЛУЧАЙНЫЙ, ШТРАФНОЙ ИЛИ КАРАТЕЛЬНЫЙ УЩЕРБ (ВКЛЮЧАЯ, ПОМИМО ПРОЧЕГО, УБЫТКИ, ВЫЗВАННЫЕ В СВЯЗИ С УТРАТОЙ, ПОТЕРЕЙ ДАННЫХ), ВОЗНИКАЮЩИЙ В СВЯЗИ КОНТРАКТОМ, ПРЕДОСТАВЛЕНИЕМ ИЛИ ИСПОЛНЕНИЕМ СЛУЖБ, НЕЗАВИСИМО ОТ ТОГО, ВОЗНИКАЕТ ЛИ ЭТА ОТВЕТСТВЕННОСТЬ В СВЯЗИ С ПРЕТЕНЗИЯМИ, ОСНОВАННЫМИ НА НАРУШЕНИЯХ ДОГОВОРНЫХ ОБЯЗАТЕЛЬСТВ И ДЕЛИКТ (ВКЛЮЧАЯ ОТВЕТСТВЕННОСТЬ ЗА НЕБРЕЖНОСТЬ), ОТВЕТСТВЕННОСТИ ЗА КАЧЕСТВО, НЕЗАВИСИМО ОТ НАЛИЧИЯ У ТАКОЙ СТОРОНЫ СВЕДЕНИЙ О ВОЗМОЖНОСТИ ТАКОГО УЩЕРБА."
Да google обязуется не раскрывать. Но никаких обязательств не несет.
Если информация куда-то утечет, то: а)Я об этом даже не узнаю
б)Даже если узнаю, ни копейки с облачного оператора мне не получить.
А сколько Вы получите от лицензиата, который спроектировал (и/или аттестовал) подсистему обеспечения ИБ для Вашей системы, когда произойдёт утечка информации? Или сколько Вы получите от компании, которая продала вам сертифицированное СрЗИ, после того, как злоумышленник его обошёл и увёл информацию? Вы доверяете на все 100 сертификатам ФСТЭК, ФСБ и др.?
В том то и дело, что если у своей Системе защиты информации, я сам анализирую уязвимости, управляю рисками, определяю контрмеры, настраиваю СЗИ.
Я могу быть уверен, что благодаря принятым контрмерам ущерб будет на приемлемом уровне.
В крайнем случае при инциденте можно и лишить премии сотрудника ответственного за нарушение требований.
Если я на какие то мероприятия привлекаю подрядчика, я могу оперативно управлять качеством их работы, да и в глаза специалисту можно посмотреть.
В большинстве случаев подрядчику конфиденциальная информация не передается. В этом плюс. А если передается небольшая часть информации, то я знаю какая именно и по договорным отношениям подрядчик несет полную ответственность за конфиденциальность.
Где-то прочитал одну фразу. "То, что для нашего поколения — трагедия, следующему покажется посмешищем". В начале 20 века официально считалось, что человек не может развить скорость более 20 КмЧ 🙂 Не доросли мы еще до облак, да и они пока, увы, далеко не так хороши.
У нас давно есть лакмусовая бумажка = ГУГОЛЬ
magicandy: Когда я иду к врачу, я вообще не знаю, какова его квалификация и сколько на нем смертей ;-( Лично я могу еще выбирать — у меня страховка есть. А большинство людей приписаны к своей районной поликлинике и к конкретному врачу, которому под 60 ;-( И ответственности у него никакой. Она только в теории, а на практике пшик.
Тоже самое с педагогами.
статья на тему
http://www.ibusiness.ru/12529
по поводу сабжевого предложения про спор о вкусе устриц.
предполагается что за 30 тестовых дней произойдет некий разрыв шаблона?
за счет чего? 😉
пусть даже за эти 30 дней сервис будет доступен 24×7, у инетпровайдера доступа к сервису не отвалится канал, поставщика сервиса не похакают и к нему не придет орган с выемкой, но это же не будет говорить о том, что Это Классное Облако всегда так работает 😉
p.s.
я не против "всего как сервисов", но когда отовсюду навязывается ОБЛАКО ОБЛАКО ОБЛАКО — это ужасно.
Сергею Б.: И сейчас деятельность компаний по ИБ подчиняется вполне определенным нормам. И ответственность есть. И наказать можно. Если докажете…
И у врачей и педагогов также. Врач несет ответственность за разглашение… если вы докажете это. И за ваше здоровье несет… если вы докажете, что именно его вмешательство нанесло вам вред.
Но облачный провайдер еще и репутацией дорожит. Т.к. от качества его услуг зависит, будут к нему обращаться или нет. А врач и педагог не дорожит — у многих просто выбора нет, куда идти со своими детьми или здоровьем.
Алексей: Есть небольшая проблема с доказательствами. С оборудования облачного провайдера я не могу собирать события ИБ, не могу отслеживать в реальном времени кто получал доступ к моей почте, пока она проходила фильтрацию на внешнем сервисе.
Возможно через правоохранительные органы удастся что-то сделать? Но и тут проблема — где находится этот облачный оператор? В какую страну надо слать запросы? Но скорее всего с доказательствами ничего не выйдет.
pushkinist'у: Я не предлагаю верить 😉 Я предлагаю проверить 😉
Понять как работает облачная безопасность за 30 дней можно. И именно это я и призываю сделать тем, кто еще ее не пробовал руками. А дальше уже стоит обсуждать реалии — каналы, их качество, резервные каналы, SLA и т.д. Про все это я сам не раз говорил и тут в блоге есть презентации с описанием проблем аутсорсинга ИБ. В масштабах России многие из них пока не разрешимы, но в масштабах крупных городов с нормальными каналами — почему бы и нет…
Сергею Б.: А что значит, что вы не можете события ИБ собирать? Какие именно? Тот же ScanSafe вам потом отчет выдаст — какие атаки/вредоносы/сайты были заблокированы. В реалтайме это вам зачем? Вы же для этого и отдаете в облако эту задачу.
Что касается "чужого" доступа к почте, то вас не почему-то этот вопрос не волнует в отношении обычного провайдера. А с ним вообще в договоре про это ни слова нет, в то время как с облачным провайдером это можно вписать в договор и проконтролировать реализацию прописанных мер.