Андрей Прозоров и Джабраил Матиев о вопросах информационной безопасности

Аватар пользователя Lindt
Автор: Наталья Мутель, Ответственный редактор BISA
(12)
()
Опубликовано в: ,

Какое событие, произошедшее в сфере информационной безопасности в этом году, вы бы выделили как знаменательное?

Андрей Прозоров

Андрей Прозоров:

Ключевой темой в России я бы назвал новое законодательство по НПС. С ужесточением требований и увеличением их количества становится жалко наши банки. Из международных событий - COBIT 5 и выход книги "COBIT5 for Information Security».

Почему вы так выделяете это событие?

Это самая актуальная методология на данный момент, она развивается, причем с поддержкой международного сообщества, её можно использовать для экспертизы, для внедрения, для аудита – очень хороший стандарт, я думаю, он будет развиваться и будет полезен ИБ-сообществу.

Многие специалисты называют трендом этого года развитие облачных технологий и, как следствие, облачной безопасности. Пока универсальной защиты не появилось. Как вы видите решение этой проблемы?

Андрей Прозоров:

Для начала нужно использовать стандартные подходы по безопасности: физическая безопасность, классические средства сетевой безопасности.

Джабраил Матиев

Джабраил Матиев:

Нужно исходить из того, какая зона ответственности у провайдера и потребителя облака. Если мы говорим о формате Infrastructure as a Service (IaaS) , то большая часть реализации безопасности лежит на потребителе. Если же речь идёт о формате software as a service (SaaS), то в этом случае провайдер должен обеспечить весь спектр решений и вопросов по безопасности и все их закрыть. Соответственно, основная сложность заключается в том, что классические методы с одной стороны работают, а с другой стороны не закрывают всех угроз именно при такой модели потребления. Тут можно выделить несколько особенностей. Во-первых, система управления облаком. В физических средах аналога такому объекту нет. Во-вторых, сама модель потребления, когда идёт разделение ресурсов между разными потребителями, что создаёт дополнительную угрозу и третье, - концентрированность ресурсов на отдельных площадках. То есть, при отсутствии должного уровня отказоустойчивости, в итоге, мы приходим к тому, что доступность сервиса может быть невысокой.

Андрей Прозоров:

Безопасность облаков, это прежде всего доверие. Приведу в пример понравившуюся мне метафору: когда вы садитесь в самолёт, вы доверяете свою жизнь перевозчику. Было бы смешно приходить в самолёт со своим парашютом или надувной лодкой и т.д. Я доверяю пилоту, техперсоналу, авиакомпании. Даже если случиться какая-то непредвиденная ситуация, её оперативно решат. К облакам это сравнение имеет самое непосредственное отношение: мы должны доверять провайдеру, а безопасность уже обеспечивает он. Для России пока это не так актуально. Возможно, тут дело в менталитете. В Америке облака работают очень хорошо.

Джабраил Матиев:

Основная проблема в том, что у нас нет законодательства, которое бы регулировало отношения (провайдера, регулятора и потребителя).

Андрей Прозоров:

Учитывая тот факт, что мы ориентируемся на требования и рекомендации нашего российского законодательства, которые разрабатывались давно и не так актуальны сейчас. Я не думаю, что новые требования и рекомендации по облакам появятся в ближайшее время, хотя эта проблема весьма актуальна для рынка.

Нет осознания проблемы?

Андрей Прозоров:

Осознание проблемы есть. Я думаю, что нет специалистов, которые могли бы посоветовать, помочь регуляторам правильно сформулировать требования и рекомендации.

Раз уж мы заговорили про тренды и новинки. Какие новые угрозы вы могли бы назвать?

Андрей Прозоров:

Обработка корпоративной информации посредством личных устройств (ноутбуки, айпады, смартфоны, так далее). При этом, безопасники не могут влиять ни на пользователей, ни на эти устройства, отсюда определенный риск безопасности. Специалисты по безопасности должны об этом думать, понимать, анализировать.

Джабраил Матиев:

Я считаю, что появление новых угроз связано, прежде всего, с появлением новых объектов. Допустим, раньше не существовало аналогов системы управления облаками, получив доступ к которой, можно управлять не только всеми компьютерами одной организации, но и данными многих организаций, представлены в этом облаке. Появились новые угрозы и их значимость очень сильно выросла.

Возможно ли со временем создать универсальную систему защиты информации?

Андрей Прозоров:

Она и сейчас существует: берем ноутбук, запираем его в сейф и не пользуемся им - это универсальное решение. Проблема заключается не в универсальности решения по безопасности, а как синхронизировать его с потребностью пользователя. Пример с ноутбуком в сейфе -классическая шутка безопасника. Мы применяем жёсткие меры защиты, но пользоваться этим ноутбуком уже нельзя. Всегда необходим баланс между ожиданиями пользователя, его желаниями и безопасностью.

Джабраил Матиев:

Я могу сказать, что универсального решения по безопасности никогда не появится. Это слишком интеллектуальный, сложный продукт, неподъемный для одного вендора.

Андрей Прозоров:

Я даже больше скажу – вендоры действуют намного медленнее, чем нарушители.

Джабраил Матиев:

Да, это во-первых, во-вторых, вендоры решают отдельные задачи на среднем уровне, а не занимаются комплексными системами безопасности. На высоком уровне такие задачи решаются, только когда компания занимается одним специализированным направлением.

Неужели не существует методологии, которая позволяла бы предвидеть появления той или иной угрозы?

Существуют способы закрывания дыр до того, как их найдёт злоумышленник. Фактически, это наша основная задача - не закрывать дыры, которые появляются, а находить их заранее.

Андрей Прозоров:

По сути, в этом заключается классическая задача менеджмента – видение ситуации, прогноз развития рынка. Сейчас мы видим: да, будут развиваться облака и персональные мобильные устройства. Соответственно надо думать, как их защищать и какие новые угрозы могут появиться.

Какой основной вопрос в информационной безопасности для вас остаётся нерешённым?

Андрей Прозоров:

Вопрос к регуляторам: как состыковать требования регуляторов и требования бизнеса, чтобы ориентироваться не просто на какие-то заградительные барьеры, которые не понятно из чего произрастают, а именно на рисковый подход - ценность информации, вероятность ее потери и т.д.

Джабраил Матиев:

На самом деле это сделать очень просто. По сути, наше законодательство пытается регулировать вопросы обеспечения информационной безопасности. В действительности необходимо заниматься регулированием ответственности за инциденты. В этом случае бизнес будет всеми возможными способами решать вопрос, как не допустить возможность этих инцидентов. Те формальные требования, которые регуляторы пытаются предъявить сейчас, не могут остановить нарушения – у регуляторов нет понимания проблем бизнеса.

Андрей Прозоров:

Я бы ещё добавил, что наказание должно быть неминуемым. Вот ещё один вопрос для регуляторов, как сделать так, чтобы наказание было неотвратимо, а то сейчас получается, что строгость закона компенсируется необязательностью его выполнения.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.